The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Piratage de type logiciel malveillant

Cette étape concerne les sites piratés pour distribuer des logiciels malveillants, qui s'accompagnent souvent d'un avertissement Ce site risque d'endommager votre ordinateur dans les résultats de recherche. Il s'agit de l'une des étapes les plus longues du processus de récupération. Au cours de cette étape, vous allez établir la liste des fichiers endommagés présents sur votre site. Cette liste vous sera nécessaire au cours d'une étape ultérieure, Nettoyer votre site et en assurer la maintenance.

Si votre site a été affecté par du spam, et non par un logiciel malveillant, et que l'avertissement Il est possible que ce site ait été piraté s'affiche dans les résultats de recherche, veuillez vous reporter à la page Évaluer les dommages (Piratage de type spam).

Vous aurez besoin :

  • d'un accès aux serveurs de votre site (Web, base de données, fichiers) en tant qu'administrateur du shell/du terminal ;
  • d'une bonne connaissance des commandes du shell/du terminal ;
  • d'effectuer des requêtes SQL dans la base de données.

Ce que vous allez devoir faire :

Préparation

  1. Évitez d'utiliser un navigateur pour afficher des pages de votre site. Étant donné que les logiciels malveillants se propagent souvent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur.
  2. Créez un document pour enregistrer les résultats de cette étape. Le document comprendra à la fin (au minimum) le nom/l'emplacement de chaque fichier endommagé ainsi que des notes sur la façon dont il a été infecté. Il servira de base à l'étape Nettoyer votre site et en assurer la maintenance.
  3. Consultez des ressources supplémentaires si nécessaire :
    • Regardez la vidéo ci-dessus pour comprendre le fonctionnement des logiciels malveillants et savoir comment vous protéger lors de votre recherche de logiciels malveillants.
    • Consultez la page de diagnostic de la navigation sécurisée Google pour accéder à des informations publiques concernant le danger que représente un site pour les internautes. Vous pouvez consulter l'état de votre site à l'aide d'une URL semblable à celle-ci :
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Il peut s'agir par exemple de http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com.
  4. Utilisez la commande cURL ou la commande Wget afin d'effectuer des requêtes HTTP (pour explorer une page par exemple).

    Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection. Ils peuvent comprendre des informations concernant les URL de provenance ou les user-agents. L'intégration de ces données permet de simuler les actions effectuées par les pirates informatiques. En effet, ces derniers peuvent choisir de n'afficher du contenu malveillant que pour les internautes utilisant des user-agents ou des URL de provenance spécifiques. Cela leur permet de cibler plus de "personnes réelles" et de ne pas être repérés par les propriétaires de sites ni par les détecteurs de logiciels malveillants.

    $curl -v --referer "http://www.google.com" <your-url>

Recherche de types spécifiques d'infections de votre site par des logiciels malveillants

  1. Sélectionnez votre site validé dans la Search Console, puis cliquez sur Problèmes de sécurité.
  2. Examinez toutes les catégories de logiciels malveillants (par exemple : configuration de serveur, injection SQL) affichées sur la page "Problèmes de sécurité" pour votre site. Vous pouvez consulter des informations supplémentaires sur les URL infectées de la catégorie en cliquant sur "Afficher les détails". Les détails peuvent inclure des extraits de code injecté par le pirate informatique. Pour chaque catégorie, copiez les éléments suivants dans votre document d'examen :
    • Tous les exemples d'URL infectées affichés pour la catégorie de logiciels malveillants de la page "Problèmes de sécurité"
    • Toute page endommagée supplémentaire que vous pourriez trouver lors de votre examen
    • Les résultats détaillés obtenus à propos des URL infectées, tels que le type de dommage causé
  3. Vous trouverez des informations supplémentaires pour vous aider à examiner chaque catégorie de logiciels malveillants dans les sections mentionnées ci-dessous :

Évaluation des dommages sur le système de fichiers

Vous aurez ensuite besoin de vous connecter au système de fichiers de votre site pour procéder à un examen plus approfondi. Sachez que le pirate informatique peut, entre autres, avoir modifié des pages ou des enregistrements de base de données, créé des pages contenant du spam, écrit des fonctions pour afficher du spam sur des pages saines ou laissé des "portes dérobées" qui lui permettront de revenir sur votre site, ou qui continueront d'effectuer des tâches malveillantes si elles ne sont pas supprimées.

Si votre site est en ligne, vous pouvez le retirer du Web pour effectuer cette étape.

  1. Si vous possédez une sauvegarde de votre site que vous pensez non infectée, déterminez les fichiers qui ont été créés ou modifiés depuis la sauvegarde. Ajoutez ces fichiers à votre liste, car vous devrez probablement les examiner plus en détail. Sur les systèmes d'exploitation Unix, vous pouvez utiliser une commande telle que :
    $ diff -qr <current-directory> <backup-directory>
    Par exemple :
    $ diff -qr www/ backups/full-backup-20120124/
    ou également
    $ md5sum <current-page> <backup-page>
    Par exemple :
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Vérifiez que les journaux de serveur, d'accès et d'erreurs ne comportent aucune activité suspecte, telle que des échecs de tentative de connexion, un historique de commandes (root, en particulier), la création de comptes utilisateur inconnus et autres. Sachez que le pirate peut avoir modifié ces journaux à ses propres fins. Si cela peut vous aider, la vidéo de l'étape Identifier la faille présente quelques exemples.
  3. Vérifiez que les fichiers de configuration, tels que les fichiers .htaccess et httpd.conf, ne comportent aucune URL de redirection. Les pirates informatiques créent souvent des URL de redirection conditionnelles basées sur le user-agent, l'heure de la journée ou l'URL de provenance.
  4. Vérifiez que les autorisations relatives aux dossiers et aux fichiers ne sont pas trop larges. Les pirates informatiques s'y attaquent souvent. Si les autorisations sont trop larges et que le propriétaire du site ne s'en rend pas compte, la personne malveillante peut s'en servir pour revenir sur ce dernier. Des fichiers avec une autorisation supérieure à 644 (rw-r--r--) et des dossiers avec une autorisation supérieure à 755 (rwxr-xr-x) peuvent engendrer des problèmes de sécurité. Assurez-vous que toute autorisation plus large est vraiment nécessaire. Pour les systèmes d'exploitation Unix, essayez :
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Si vous possédez une base de données, examinez les enregistrements un par un à l'aide d'un outil tel que phpMyAdmin.

Étape suivante

L'étape suivante du processus consiste à identifier la faille.