J’avais déjà vu plusieurs backdoors sur Github (comme wso), mais ca me semblait légitime. On pouvait les télécharger pour les analyser, les comprendre, les expliquer… Mais ce sur quoi je viens de tomber c’est juste des backdoors cachées à qui utiliseront ces projets. Beurk…
Des projets putes à clics:
Je cherchais à lancer des ordres avec Google home pour lancer des MP3 sans avoir de comptes payants type spotify. J’avais besoin de récupérer des MP3 que je n’avais pas, et j’ai donc pensé à Youtube. J’ai donc cherché un code pour faire cela.
On est d’accord, je ne suis surement pas le premier, et les personnes qui cherchent ce type de code peuvent tout à fais être novice en dév.
Je ne vais pas faire des liens vers ces projets pour ne pas augmenter leur SEO, mais je vais quand même vous les donner.
Je suis d’abord tombé sur :
https://github.com/coolguruji/youtube-to-mp3-converter-php-script/blob/master/index.php
Là, on voit que le script commence par une saleté d’encodage en base 64. Ca sent le sapin !
Surement un noob qui s’est fait piraté… Ou alors un méchant pirate qui essaye de duper les gens.
puis sur:
https://github.com/diegorosa/YouTube-to-MP3-Converter-API
Celui ci renvoie vers un site baixaryoutube.net qui vous dira que vous avez été piraté pour vous demander de télécharger une backdoor…
Et quand on a fait le tour, et bien on se rend compte qu’un pauvre script PHP, il n’y en a pas !
La plupart renvoie avec des iframes vers des sites douteux.
Comment faire alors:
Soit vous utilisez un site en ligne comme mp3hub, soit vous utilisez un outil en ligne de commande tel que youtube-dl avec un shell_execute. Perso, j’ai opté pour la 2e solution pour conserver le contrôle. Mais ce qu’il faut retenir, c ‘est qu’il faut toujours penser à vérifier le code que vous télécharger avant de vous en servir ! Je n’ose même pas imaginer des codes pour wordpress…