Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



IoT : comment j'ai piraté ma maison



Courrier indésirable en juillet 2014



Paiements en ligne : sécurité et confort



Livraison des diffuseurs de spam : danger garanti
 
 

  Page d'accueil / Analyses

"Ce site risque d'endommager votre ordinateur" Comment reconnaître et déjouer les infections de sites Internet

3.10.2012   |   comments (2)

Marta Janus

Les infections de sites Internet en masse sont devenues un des plus grands problèmes auxquels le secteur informatique doit faire face. Pour avoir une idée de son ampleur, il suffit de prendre le nombre de requêtes adressées à notre service d'assistance technique au sujet d'avertissements relatifs à des sites malveillants. En général, les propriétaires des sites Internet se plaignent du blocage erroné de leur site par nos produits et affirment qu'il doit s'agir d'un faux positif car ils n'hébergent aucun contenu malveillant. Malheureusement, ils se trompent dans la majorité des cas et leurs sites renferment bel et bien des scripts malveillants qui ont été injectés dans le code PHP, JS ou HTML d'origine par les auteurs des attaques. En règle générale, ces scripts redirigent les visiteurs du site vers des URL malveillantes où des programmes malveillants attendent d'être téléchargés et exécutés sur l'ordinateur de la victime. Dans la majorité des cas, la victime ne remarque rien de l'exécution du programme malveillant et ne voit qu'un site Internet qui semble fonctionner normalement. Le code malveillant exploite des vulnérabilités dans un logiciel exécuté sur l'ordinateur (Java, Flash, visionneuses de PDF, modules externes pour navigateur, etc.) afin de pouvoir s'installer à l'insu de l'utilisateur sur l'ordinateur attaqué. C'est ce qu'on appelle une attaque par téléchargement à la dérobée et cette tactique a déjà été présentée en détail sur Securelist.

L'article qui suit se concentre sur des informations qui pourraient aider les administrateurs de sites Internet à identifier les programmes malveillants hébergés sur ces sites et à les supprimer.

  • Que se passe-t-il ? Symptômes d'une infection.
  • A quoi faut-il être attentif ? Exemples de codes malveillant
  • Comment cela s'est-il produit ? Vecteurs et techniques d'attaque
  • Quel est le but de l'infection ? Les objectifs du cybercriminel
  • Comment déjouer les infections de sites Internet ? Méthodes de nettoyage
  • Comment prévenir les infections de sites Internet ? Notions élémentaires de sécurité sur Internet

Symptômes d'une infection

Comment pouvez-vous savoir si votre site Internet a été infecté ? Les meilleurs symptômes sont les plus évidents:

  • Les utilisateurs se plaignent du blocage de l'accès au site par le navigateur et/ou un logiciel de sécurité.
  • Le site figure dans une liste noire gérée par Google ou il a été ajouté à certaines bases de données d'URL malveillantes.
  • Le trafic a connu des changements sensibles et/ou le site a perdu des places dans les classements des moteurs de recherche.
  • Le site Internet ne fonctionne pas correctement et affiche des messages d'erreur ou d'avertissement.
  • Après la visite du site, les ordinateurs présentent un comportement étrange.

Il est fréquent que l'infection ne soit pas remarquée tout de suite, surtout si elle a été provoquée par des programmes malveillants plus sophistiqués. Ces programmes sont normalement fortement obfusqués afin de tromper les administrateurs de site Internet et le logiciel de sécurité et ils modifient en permanence les noms de domaines vers lesquels ils redirigent les Internautes, se jouant ainsi des listes noires. Si vous ne remarquez aucun des symptômes décrits ci-dessus, il est très probable que votre serveur n'est pas infectés, mais restez toujours vigilant afin de détecter la moindre activité suspecte.

L'indice le plus fiable de la moindre infection est la présence de code malveillant ou suspect dans un ou plusieurs fichiers sur le serveur, principalement des fichiers HTML, PHP ou JS, mais aussi depuis peu dans des fichiers ASP/ASPX. La détection de ce code n'est guère aisée et requiert des connaissances de base en programmation et développement de sites Internet. Afin de vous familiariser à l'aspect du code malveillant, voici quelques exemples des injections les plus fréquentes dans des sites Internet.

Exemple 1 : redirection simple

La méthode la plus ancienne et la plus simple utilisée par les cybercriminels consiste à joindre un simple HTML IFRAME au code des fichiers HTML sur le serveur. L'adresse du site malveillant dans le cadre est indiquée dans l'attribut SRC tandis que l'attribut VISIBILITY, avec la valeur "hidden", rend le cadre invisible pour l'internaute qui visite le site.

 
Figure 1 : IFRAME malveillant dans le code HTML du site Internet

Une autre technique d'exécution d'un script malveillant dans le navigateur d'un utilisateur consiste à injecter le lien vers ce script dans un fichier HTML en tant qu'attribut src dans une balise script ou img:

 
Figure 2 : exemples de liens malveillants

Récemment, on a assisté à une augmentation du nombre de cas où le code malveillant est généré et injecté dynamiquement dans les fichiers HTML par un script JS ou PHP malveillant. Dans ce cas, le code est visible uniquement dans la source à l'intérieur du navigateur, mais pas dans les fichiers physiques sur le serveur. Les cybercriminels peuvent également définir les conditions dans lesquelles le code doit être généré, par exemple seulement quand l'Internaute arrive sur le site depuis certains moteurs de recherche ou si l'Internaute utilise un navigateur en particulier.

Afin de tromper le propriétaire du site et le logiciel de sécurité et dans le but d'empêcher l'analyse du code malveillant, les cybercriminels utilisent différentes méthodes d'obfuscation du code.

Exemple 2 : "404 introuvable"

Dans cet exemple, le code malveillant est injecté dans le modèle du message qui est affiché lorsque l'objet sollicité est introuvable sur le serveur (la fameuse réponse HTTP 404). De plus, un lien vers un élément qui n'existe pas est injecté dans les fichiers index.html/index.php en vue de déclencher cette erreur silencieusement à chaque visite d'un internaute sur la page Internet infectée. Cette méthode peut générer une certaine confusion : la personne responsable du site Internet apprend qu'un logiciel antivirus quelconque considère son site comme étant infecté ; après une analyse superficielle, elle voit que le code malveillant a été détecté dans un objet qui apparemment n'existe pas ; il est dès lors tentant de penser qu'il s'agit d'un faux positif, ce qui serait une erreur.

 
Figure 3 : Trojan.JS.Iframe.zs : script malveillant dans le modèle d'un message d'erreur 404

Dans ce cas particulier, le code malveillant a été obfusqué. Après la désobfuscation, on voit que l'objectif de ce script est d'injecter une balise IFRAME qui permettra de rediriger les utilisateurs vers une URL malveillante.

 
Figure 4 : Trojan.JS.Iframe.zs : code malveillant après désobfuscation

Exemple 3 : profilage des infections

Des codes semblables peuvent être créés et joints dynamiquement (c.-à-d. en fonction de certaines circonstances) à tous les fichiers HTML qui se trouvent sur un serveur grâce à un script PHP malveillant chargé sur le même serveur. Le script de l'exemple ci-après vérifie le contenu de la balise UserAgent (envoyée par le navigateur de l'utilisateur et par les bots de recherche également) et n'ajoute pas le code malveillant si le site est consulté par des bots ou des utilisateurs via Opera, Chrome ou Safari. Par conséquent, les Internautes qui utilisent des navigateurs qui ne sont pas vulnérables au code d'exploitation utilisé ne seront pas redirigés vers ce code d'exploitation. Remarquez également les commentaires trompeurs qui pourraient laisser croire que ce script est lié d'une certaine manière à des statistiques de bot.

 
Figure 5 : Trojan.PHP.Iframer.e infection PHP

Cette méthode fonctionne également en sens inverse : les cybercriminels peuvent injecter des liens vers du contenu illégal, douteux ou malveillant (courrier indésirable, logiciels espion, logiciels piratés ou phishing) seulement si un bot de recherche visite le site Internet. L'objectif d'une telle attaque est ce qu'on appelle le référencement black hat : un mécanisme qui permet d'optimiser le référencement des ressources du cybercriminel. En règle générale, ces programmes malveillants visent des portails de renom dont l'indice de popularité (PageRank) est assez élevé ; ils sont assez difficiles à détecter car un utilisateur normal ne verra jamais le code malveillant. Par conséquent, les sites Internet malveillants obtiennent un indice très élevé dans les moteurs de recherche et ils commencent à apparaître en haut des résultats.

Exemple 4 : obfuscation rusée

Les infections PHP peuvent également prendre d'autres formes. Voici deux exemples découverts et décrits dans notre blog il y a quelques mois déjà (ici et ici).

 
Figure 6 : Trojan-Downloader.PHP.JScript.a : infection PHP

 
Figure 7 : Trojan.PHP.Injecter.c : infection PHP

Le premier de ces deux exemples (Trojan-Downloader.PHP.JScript.a) injecte un JavaScript malveillant dans le code de fichiers HTML juste après une des balises de fermeture définies (à savoir, script, div, table, form, p, body). Le contenu du script injecté n'est pas écrit en clair : il se présente sous la forme de chiffres et est stocké dans deux groupes : $tr et $tc. La désobfuscation est réalisée "au vol". Le code produit de cette manière est également obfusqué, mais d'une autre façon:

 
Figure 8 : Trojan.JS.Redirector.px : JavaScript malveillant injecté dans un fichier HTML

Tout d'abord, on pourrait penser que ce script est lié aux couleurs affichées sur la page Internet. Cette impression est malheureusement complètement fausse : le script convertit les valeurs stockées dans div_colors en caractères ASCII, puis construit l'URL malveillante qui est ajoutée au fichier HTML à l'aide de l'instruction document.write() ou document.createElement().

Le deuxième script PHP (Trojan.PHP.Injecter.c) est encore plus rusé : l'URL malveillante est écrite à l'aide de caractères "invisibles" (des espaces et des tabulations). Si nous supposons qu'un espace représente “0” et qu'une tabulation désigne “1”, on obtient un code binaire. Chaque tronçon de 8 bits de ce code est une représentation décimale d'un caractère ASCII.

Exemple 5 : JavaScripts infectés

Les sources d'infection décrites ci-dessus étaient introduites dans des fichiers PHP chargés sur un serveur par des cybercriminels qui avaient exploité les vulnérabilités dans le logiciels CMS ou qui avaient volé les informations d'identification pour le FTP. Une autre méthode consiste à infecter des fichiers JS légitimes qui se trouvent déjà sur le serveur. Parmi un large éventail d'exemples de cette technique, nous pouvons citer au moins trois cas différents qui ont été répandus au cours des derniers mois.

Dans le premier cas, le code suivant est injecté de manière dynamique dans des fichiers HTML :

 
Figure 9 : Trojan.JS.Iframe.zs : IFRAME malveillant injecté dynamiquement dans HTML

Le script responsable de l'ajout de ce code se trouve dans un ou plusieurs fichiers JS sur le serveur :

 
Figure 10 : Trojan.JS.Iframe.zs : script qui injecte un IFRAME ; après désobfuscation

Dans le cas suivant, la représentation hexadécimale des caractères ASCII a été utilisée pour l'obfuscation. Tous les fichiers JS du serveur sont infectés par un code similaire:

 
Figure 11 : Trojan-Downloader.JS.Agent.gnm : code malveillant injecté dans des fichiers JS

Dans un autre scénario populaire, en plus des méthodes d'obfuscation standard, nous trouvons également des commentaires en latin, introduits probablement pour donner un air de légitimité au script et gagner la confiance de l'administrateur, même s'il ne s'agit que de séquences aléatoires tirées de la célèbre formule "Lorem ipsum".

 
Figure 12 : Trojan-Downloader.JS.Twetti.t : code malveillant injecté dans des fichiers JS

Enfin, il y a une épidémie massive de programmes malveillants Internet dans le cadre de laquelle des noms de domaines aléatoires sont utilisés. Le code que vous pouvez trouver sur votre site Internet, s'il a été infecté par ce programme malveillant, ressemble à ceci :

 
Figure 13 : version obfusquée d'un code qui redirige l'utilisateur vers un domaine créé de manière

Exemple 6 : "gootkit" et obfuscation du fichier entier

La détection d'un code malveillant obfusqué dans un fichier propre ne pose aucun problème et c'est pour cette raison que les cybercriminels ont récemment, eu l'idée d'obfusquer l'ensemble du contenu du fichier rendant ainsi le script injecté et le code légitime illisibles. Il n'est pas possible de distinguer le bon code du code malveillant, et par conséquent il est impossible de réparer le fichier sans le décrypter.

 
Figure 14 : fichier obfusqué par le programme malveillant "gootkit"

Se débarrasser de la première couche d'obfuscation n'est pas très compliqué. Il suffit de remplacer la fonction eval() par la fonction alert() (ou la fonction print() en cas de console) et de l'exécuter. La deuxième couche est un peu plus ardue : elle utilise le nom de domaine en tant que clé de cryptage du code.

 
Figure 15 : "gootkit", deuxième couche d'obfuscation

Une fois le décryptage terminé, le code malveillant est visible, suivi par le contenu original du fichier:

 
Figure 16 : "gootkit", code désobfusqué

Il arrive que la partie malveillante soit la deuxième version du programme malveillant cité dans l'exemple précédent et serve à générer le nom de domaine pseudo-aléatoire pour la redirection.

Exemple 7 : .htaccess

Au lieu d'infecter des scripts et du code HTML, les attaquants peuvent également utiliser les possibilités offertes par certains fichiers de configuration tels que les fichiers .htaccess. Ces fichiers permettent aux administrateurs de définir les autorisations d'accès à certains dossiers sur le serveur et de rediriger les utilisateurs vers d'autres URL dans certaines situations (par exemple, si l'agent utilisateur provient d'un navigateur mobile, l'utilisateur sera redirigé vers la version mobile du site Internet). Il n'est guère difficile de deviner comment les cybercriminels pourraient utiliser cette fonctionnalité...

 
Figure 17 : programme malveillant .htaccess

Dans l'exemple ci-dessus, tous les utilisateurs qui ont visité ce site Internet en cliquant sur un lien depuis la majorité des plus grands moteurs de recherche (paramètre HTTP_REFERER) sont redirigés vers l'URL malveillante. De plus, la liste des navigateurs et des bots qui ne vont pas déclencher la redirection (paramètre HTTP_USER_AGENT) est assez longue. La redirection n'aura pas lieu si la page Internet est lue depuis un cache (referer == cache) ou si la page Internet est à nouveau chargée depuis le même ordinateur (paramètre cookie).

Un tel programme malveillant peut être utilisé pour des infections encore plus profilées : par exemple, des adresses IP exactes peuvent être exclues si bien que la navigation sur le site depuis une adresse IP spécifique, par exemple, celle d'un éditeur de logiciels de sécurité informatique, ne donnera aucun résultat malveillant.

Vecteurs et techniques d'attaque

Quelle que soit la technique qu'ils utilisent, les cybercriminels doivent trouver un moyen d'introduire les fichiers malveillants sur le serveur ou de modifier des fichiers qui s'y trouvent déjà. La méthode la plus primitive pour accéder au serveur consiste à deviner le mot de passe d'accès. Pour ce faire, les cybercriminelles utilisent ce qu'on appelle une attaque par force brute ou sa version limitée, une attaque par dictionnaire. Cette tactique prend du temps et requiert beaucoup de ressources, si bien qu'elle est rarement utilisée pour les infections Internet en masse. Les scénarios les plus utilisés portent sur l'exploitation de vulnérabilités ou sur l'utilisation de programmes malveillants de vol de mots de passe.

Exploitation des vulnérabilités dans les systèmes de gestion du contenu et de commerce électronique

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

La majorité des plateformes modernes de gestion sur Internet (SGC, commerce électronique, panneaux de commande, etc.) n'est pas parfaite et elles contiennent des vulnérabilités qui permettent à des individus de charger des fichiers sur le serveur sans aucune authentification. De telles vulnérabilités sont découvertes régulièrement et les correctifs correspondants sont diffusés trop lentement ; de plus de nombreux utilisateurs travaillent toujours avec des versions plus anciennes du logiciel qui contiennent encore plus de bogues. Parmi les plateformes les plus ciblées, nous pouvons citer les plus populaires comme WordPress, Joomla et osCommerce. La vulnérabilité TimThumb est un exemple tristement célèbre de ce genre de faille. Elle a été beaucoup utilisée par des cybercriminels dans le cadre d'attaques par téléchargement à la dérobée. TimThumb est un module PHP qui permet de dimensionner des images et de créer des vignettes. Il figure dans la majorité des modèles SGC publics. La vulnérabilité permettait d'écrire des fichiers depuis un emplacement distant dans le répertoire cache du serveur. Un autre exemple serait la vulnérabilité d'injection SQL dans Plesk Panel (versions 10 et antérieures), découverte en février 2012. Elle permettait de lire des bases de données et de voler des mots de passe qui, jusqu'il y a peu, étaient stockés en texte brut. Les informations d'identification obtenues de cette manière ont certainement été utilisées dans une épidémie récente de programmes malveillants Internet. http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/en/blog/208193713/RunForestRun_gootkit_and_random_domain_name_generation.

Utilisation de logiciels espion pour voler les informations d'identification pour FTP

Dans la majorité des infections Internet les plus répandues, comme Gumblar ou Pegel, c'est une méthode différente qui a donné des résultats. Au cours de la première étape, les cybercriminels diffusent un programme malveillant spécialement conçu pour rechercher les noms d'utilisateur et les mots de passe d'accès à des comptes FTP et les voler, soit en regardant les paramètres du client FTP, soit en fouillant dans le trafic réseau. Une fois que le programme malveillant a obtenu ces données, il se connecte au serveur FTP et charge des scripts malveillants ou il écrase les fichiers originaux par des versions infectées. Il va sans dire que tant que l'ordinateur du détenteur du compte n'a pas été désinfecté, les fichiers du serveur seront infectés encore et encore, même après la modification des données de connexion et la restauration de tout le contenu au départ d'une copie de sauvegarde saine.

Les objectifs du cybercriminel

Quel est le but poursuivi par la diffusion de programmes malveillants Internet ?

  • Rediriger les Internautes vers des codes d'exploitation afin d'installer discrètement des programmes malveillants sur leur ordinateur.
  • Rediriger les utilisateurs vers du contenu non sollicité, du phishing ou du contenu illégal ou malveillant.
  • Détourner le trafic du site/le trafic de recherche.
  • Promouvoir des sites Internet malveillants/illégaux/de spam (référencement Black Hat).
  • Utiliser les ressources du serveur à des fins illégales.

Bref, il n'y a rien de nouveau sous le soleil : c'est le gain financier indirect qui motive les cybercriminels à infecter les sites Internet.

Méthodes de nettoyage

Que faire si votre site a été piraté ?

Tout d'abord, si vous remarquez le moindre symptôme d'une éventuelle infection, il faut désactiver sur le champ le site jusqu'à ce que le problème ait été résolu. Ceci est primordial car le moindre retard joue en faveur des cybercriminels, expose plus de victimes potentielles au problème et favoris la diffusion de l'infection sur Internet. Il faut également vérifier les journaux du serveur afin d'y déceler la moindre activité suspecte telle que des requêtes étranges en provenance d'adresses IP appartenant à des pays inhabituels, etc. Il peut être utile de localiser les fichiers infectés et de voir comment les cybercriminels ont accédé au serveur.

Ensuite, comment lutter contre le code malveillant ?

Copie de sauvegarde

La solution la plus rapide et la plus sûre consiste à restaurer tout le contenu du serveur au départ d'une copie de sauvegarde saine. Pour que cette solution soit efficace, il faut également réinstaller complètement le logiciel exécuté sur le serveur (comme SGC/CGC, plateforme de commerce électronique, etc.) et bien entendu, il faut utiliser dans ce cas la version la plus récente et complètement à jour. Désormais, il ne devrait plus y a voir un seul fichier infecté sur le serveur, pour autant que vous ayez supprimé tout le contenu avant la restauration et que la copie de sauvegarde avait été créée avant l'attaque.

Analyse automatique

Si vous ne disposez pas d'une copie de sauvegarde saine, il ne vous reste pas d'autre choix que de vous battre vous-même contre le programme malveillant. Heureusement, il existe de nombreuses solutions automatisées qui peuvent vous aider à localiser le code malveillant, notamment des logiciels antivirus et des analyseurs de sites en ligne comme http://sucuri.net/. Aucune de ces solutions n'est parfaite, mais elles sont très efficaces face à un programme malveillant connu/fréquent. Pour commencer, vous pouvez réaliser une analyse en ligne de votre site Internet. Certains systèmes vont non seulement confirmer l'infection du site, mais ils vont également identifier le code malveillant dans les fichiers. Vous pouvez ensuite réaliser une analyse antivirus complète sur tous les fichiers du serveur. Si vous êtes propriétaire du serveur ou si vous êtes autorisé à utiliser la solution de sécurité exécutée sur le serveur, vous pouvez réaliser l'analyse côté serveur. Assurez-vous d'avoir créé une copie de vos fichiers car certains antivirus suppriment les fichiers infectés au lieu de les réparer ! Vous pouvez également télécharger le contenu de votre serveur sur votre ordinateur local et l'analyser à l'aide de votre solution de sécurité Internet pour ordinateur de bureau. La deuxième option est préférable car la majorité des logiciels antivirus de bureau possède un module heuristique bien développé. Les programmes malveillants Internet sont très polymorphes : alors que les définitions statiques ne servent pratiquement à rien contre ceux-ci, ils peuvent être aisément détectés par l'analyse heuristique.

Suppression manuelle

Si l'analyse automatique échoue et si votre site est toujours infecté, la seule manière de se débarrasser de l'infection est de rechercher manuellement toutes les instances du code malveillant et de les supprimer. Cette tâche n'est pas aisée et peut prendre beaucoup de temps car il faut rechercher la présence éventuelle de scripts malveillants dans tous les fichiers, un à un, qu'il s'agisse de fichiers HTML, JS, PHP ou du fichier de configuration. Les exemples ci-dessus ne sont qu'un maigre échantillon de toutes les formes que peuvent prendre les programmes malveillants Internet, si bien qu'il est très probable que le code sur votre site sera légèrement ou complètement différent. Ceci étant dit, la majorité des infections de sites Internet à l'heure actuelle ont des points communs et ces caractéristiques peuvent être utiles pour diagnostiquer le problème.

Tout d'abord, il faut faire attention à chaque segment de code qui a l'air obscure et illisible. L'obfuscation du code est une technique fréquente adoptée par les auteurs de programmes malveillants et elle est relativement rare dans les logiciels pour site Internet. Si vous n'avez pas obfusqué vous-même du code, vous avez toutes les raisons de vous méfier de la présence de code obfusqué. Soyez toutefois prudent, du code obfusqué n'est pas nécessairement du code malveillant.

De la même manière, tous les scripts malveillants ne sont pas obfusqués. Autrement dit, vous devez être attentif aux IFRAMES en texte brut, ainsi qu'aux liens vers des ressources externes dans tous vos fichiers. Certains peuvent être en rapport avec des publicités et des statistiques, mais ne vous laissez pas tromper par les URL : elles peuvent créer la confusion en ressemblant aux adresses de portails connus et de confiance. N'oubliez pas non plus de vérifier les modèles à la recherche de messages relatifs à des erreurs de code ainsi que tous les fichiers .htaccess.

grep et find, des utilitaires de ligne de commande repris par défaut dans la grande majorité des systèmes Unix, sont certainement des outils utiles pour traquer le code malveillant sur le serveur. Voici quelques exemples d'utilisation de ces outils pour diagnostiquer les infections les plus souvent rencontrées :

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

La description de grep (extraite du manuel Linux) reprend ceci : imprime les lignes qui correspondent à un patron ; l'option -i ignore la distinction entre les majuscule et les minuscules ; -R signifie lecture récurrente et -s empêche l'écriture des messages d'erreur dans le résultat. La première des commandes de la liste permet de rechercher toutes les balises IFRAME dans les fichiers ; les trois suivantes recherchent les signes les plus évidents d'obfuscation ; les dernières recherchent des chaînes particulières qui sont en rapport avec de grandes infections de sites Internet connues.

Pour la commande find, le manuel Linux indique : recherche de fichiers dans une hiérarchie de répertoires ; le point désigne le répertoire actif (il faut donc exécuter ces commandes depuis le répertoire racine ou depuis le répertoire de base sur le serveur) tandis que le paramètre -iname désigne le nom de fichier à rechercher. Vous pouvez utiliser des expressions régulières pour trouver tous les fichiers qui répondent au critère donné.

Bien entendu, il faut toujours savoir ce que vous recherchez : tous les résultats ne seront pas un indice d'infection. Vous pouvez aussi analyser un segment de code suspect avec un antivirus ou le rechercher dans google. Il est très probable que vous trouverez des réponses, aussi bien dans le cas d'un code malveillant que dans le cas d'un code sain. Si vous ne savez toujours pas à 100 % si le fichier est infecté ou non, il est préférable de désactiver le site Internet (au cas où) et de contacter un expert avant de faire quoi que ce soit.

Remarque très importante !

Outre le nettoyage des fichiers sur le serveur, n'oubliez pas non plus de réaliser une analyse antivirus complète sur tous les ordinateurs utilisés pour charger et gérer le contenu sur le serveur et de modifier toutes les informations d'identifications de tous les comptes du serveur (FTP, SSH, panneaux d'administration, etc.) que vous maintenez.

Notions élémentaires de sécurité sur Internet

Malheureusement, dans la majorité des cas, le nettoyage du code malveillant ne suffit pas pour se débarrasser une fois pour toute de l'infection; Si votre site Internet a été compromis, cela signifie certainement qu'il existait des vulnérabilités qui ont permis aux cybercriminels d'introduire ou d'injecter des scripts malveillants sur le serveur et si vous ne réglez pas ce problème, il faudra vous attendre à de nouvelles infections dans un avenir proche. Pour éviter ce scénario, il faut prendre des mesures adéquates pour sécuriser le serveur et le ou les ordinateurs utilisés pour la connexion au compte du serveur.

  • L'utilisation de mots de passe robustes même si cela semble élémentaire, constitue vraiment la fondation de la sécurité du serveur. Les mots de passe doivent être modifiés non seulement après chaque incident ou attaque de programme malveillant contre le serveur, mais selon un intervalle régulier, par exemple, une fois par mois. Un bon mot de passe répond à certains critères qui sont présentés sur notre site Internet www.kaspersky.com/passwords;
  • Etre à jour l'autre élément à ne pas oublier, c'est réaliser les mises à jour régulières. Les cybercriminels ont tendance à exploiter les vulnérabilités dans les logiciels, que le programme malveillant soit destiné à des utilisateurs d'ordinateurs, à des sites Internet ou des serveurs Internet. Tous les logiciels que vous gérez depuis le compte du serveur doivent être les plus récents possible et chaque correctif de sécurité doit être appliqué dès qu'il est diffusé. L'application des correctifs et des mises à jour sur tous les logiciels permettra de réduire le risque d'une attaque sur la base d'un code d'exploitation. Le site http://cve.mitre.org/ reprend une liste mise à jour régulièrement des vulnérabilités connues;
  • Création de mises à jour récentes l'existence d'une copie saine du contenu du serveur vous fera certainement gagner beaucoup de temps. Qui plus est une sauvegarde récente peut être très utilise au moment de régler d'autres problèmes, outre une infection ;
  • Analyse régulière des fichiers même en l'absence de symptômes d'infection visibles, il est judicieux d'analyser tous les fichiers du serveur au bout d'un certain temps ;
  • Sécurité des ordinateurs dans la mesure où un grand nombre de programmes malveillants pour Internet est propagé via des ordinateurs infectés, la sécurité de l'ordinateur de bureau utilisé pour gérer le site Internet est un des aspects fondamentaux de la sécurité de ce dernier. Si votre ordinateur est protégé et sain, il y a de fortes chances que votre site Internet soit protégé et sain également.
  • Durcissement du serveur si vous êtes propriétaire du serveur, vous devez veiller à le configurer en pensant un maximum à sa sécurité. Cela signifie, entre autres :
    • supprimer tout logiciel qui n'est pas utilisé ;
    • désactiver tous les services et modules inutiles ;
    • définir les stratégies adéquates pour les utilisateurs et les groupes ;
    • définir des autorisations sécurisées/limiter l'accès à certains fichiers et répertoires ;
    • désactiver la navigation dans les répertoires ;
    • récolter les fichiers journaux à intervalle régulier afin de déceler une éventuelle activité suspecte ;
    • recourir au cryptage et aux protocoles sécurisés.

Les programmes malveillants pour site Internet sont un véritable cauchemar pour les administrateurs de site Internet et pour les internautes. Les cybercriminels améliorent constamment leurs techniques et dévoilent de nouveaux codes d'exploitation. Les infections se propagent très rapidement via Internet et touchent les serveurs et les postes de travail. Il est vrai qu'il n'existe aucune méthode fiable pour éliminer complètement cette menace. Toutefois, chaque propriétaire de site Internet et chaque Internaute peut contribuer à l'amélioration de la sécurité sur Internet en suivant des règles de sécurité élémentaires et en veillant en permanence à ce que ses sites et ordinateurs soient sécurisés et sains.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com