Nous vous avions promis de vous révéler pour hier la raison de notre arrêt le week-end dernier. En raison d’échange d’informations complémentaires samedi avec notre hébergeur, nous avons retardé jusqu’à aujourd’hui cette communication:
Des personnes malintentionnées ont exploitée une faille de WordPress qui nous sert de moteur de blog pour radiocom.org.
Cette vulnérabilité provoque de la part du serveur de l’hébergeur ce que l’on nomme un DoS (Denial of Service).

Afin que notre mésaventure profite à d’autres sites travaillant sous WordPress:
La vulnérabilité est due au script wp-trackback.php permettant aux utilisateurs d’installer plusieurs codages de caractères à mb_convert_encoding « () », ce qui peut être utilisé pour provoquer une charge élevée de l’UC, entraînant potentiellement un DoS.

L’attaque en elle-même est relativement simple, elle concerne les trackbacks, cette méthode qui permet de gérer les rétro-liens, c’est à dire que si un Blog B fait référence à un article d’un Blog A, alors un lien de Blog B apparaitra sur Blog A dans la partie des commentaires et avec une petite modification d’un script, la machine va pouvoir créer des milliers de liaisons trés rapidement qui vont avoir pour but de mettre à bas le serveur en surchargeant celui-ci.

Si en plus plusieurs machines sont mises en route en même temps pour effectuer cette agression, le résultat sera atteint.
Ce qui fût le cas de l’agression dont radiocom.org a été victime les 7 et 8 novembre derniers, et qui ont motivé OVH à fermer notre site plusieurs jours.

Message d’OVH du 9 novembre:
Actuellement, vous avez confié l’hébergement de votre domaine radiocom.org à notre société OVH .
Nous vous informons que l’état opérationel de votre hébergement
est passé en état « HACKE ». Ceci veut dire qu’il n’est plus
opérationel du tout.
La raison de ce changement d’état est le suivant:
Vos scripts consomment trop de CPU et surchargent nos serveurs

On trouve malheureusement sur internet des sites expliquant comment monter de telles attaques ainsi que les routines correspondantes et la méthode pour y arriver.

Nous concernant, ce sont 2 machines qui ont générées simultanément les attaques (donc concertation entre elles), l’une basée en région parisienne avec l’adresse IP: 78.24.133.34 et l’autre ayant comme adresse IP: 91.121.120.153 adresse d’un serveur dédié chez OVH lui-même !!!

Ces 2 machines ont générées plus de 400.000 connections agressives sur radiocom ce dernier week-end !
Une enquête est en cours et des éléments complémentaires nous sont parvenus aujourd’hui

Un autre site radioamateur a fait l’objet de la même attaque de la part de la même adresse IP 91.121.120.153 les mêmes jours. Nous ne le citons pas , mais lui laissons le soin de communiquer à ce sujet sur son site et/ou sur le nôtre s’il le désire.

Il va sans dire qu’une suite sera donnée sur ces agressions dont nous avons été victimes, engendrées vraisemblablement par les appels à la haine, délations en tous genres et fausses accusations dont certaines listes usenet et sites internet se sont fait la spécialité. De là à tenter quelques uns à nous nuire, il n’y à eu qu’un pas.

Nous reviendrons d’ailleurs sur les messages envers nous ou citant l’indicatif F6AIU prochainement.