Dépannage et directives concernant les URL malveillantes

Description du problème

Habituellement, l’hébergement de contenus malveillants n’est pas intentionnel; il résulte plutôt d’une vulnérabilité d’un service (site Web, compte d’utilisateur, etc.) ou du système d’exploitation. Non seulement les contenus malveillants doivent-ils être supprimés, mais la méthode utilisée par des tiers pour leur publication (par exemple l’exploitation d’un logiciel non corrigé, de permission faibles, d’un mot de passe faible ou d’une fonctionnalité vulnérable) doit également être corrigée. Que le contenu concerné soit relatif à de l’hameçonnage ou qu’il s’agisse d’un maliciel actif, le processus est généralement le même.

Veillez à ne pas visiter une URL susceptible de contenir du code malveillant qui pourrait infecter votre station de travail.

Suggestions pour la résolution du problème

Il est recommandé de mettre le site signalé hors service jusqu’à ce que vous soyez sûr qu’il a été nettoyé. Vous pourriez avoir à remettre le site en service pour exécuter une partie de la procédure suivante, mais, d’une façon générale, il devrait rester hors service jusqu’à ce que le processus de nettoyage soit terminé.

  • Enquêtez et recueillez des informations sur l’infection
  1. Identifiez le compte utilisateur, le domaine et l’emplacement du fichier malveillant concernés.
  2. Notez l’intégralité des horodateurs, des permissions et des propriétés liés au contenu malveillant.
  3. Dans certains cas, le contenu malveillant a pu être téléversé sur le site ou injecté dans le code d’un fichier légitime. N’oubliez pas d’établir la liste de tous les fichiers légitimes sur le site pouvant avoir été modifiés.
  4. Lorsque vous examinez le contenu, recherchez les éléments suivants :
    1. Du texte ou des liens de type pollupostage. Il peut s’agir de termes évidents; toutefois, lorsque ce n’est pas le cas, essayez de repérer des mots-clés que l’on retrouve fréquemment dans le pollupostage comme des noms de produits pharmaceutiques ou des expressions comme « bon marché », « gratuit », « casino » ou « amateur ».
    2. Du texte, des liens de type pollupostage ou des métabalises de rafraîchissement automatique masqués (plus difficiles à détecter). Essayez de repérer, sur le code de la page, des termes comme base_64. Des textes comme eval(base_64_decode("aisiYSlbYlaws...")) peuvent par exemple être utilisés pour du masquage.
  5. Des comptes système ou des comptes configurés au sein de l’application Web peuvent être touchés. Vérifiez qu’aucun nouveau compte utilisateur n’a été créé. Si vous trouvez de nouveaux comptes, notez leurs noms d’utilisateur pour vous y référer ultérieurement.
  6. Lorsque vous recherchez un contenu malveillant, essayez de découvrir les intentions de l’utilisateur malveillant. Son objectif consiste-t-il simplement à tromper l’utilisateur final en se faisant passer pour une autre entreprise pour qu’il fournisse ses renseignements personnels (c’est ce qu’on appelle de l’hameçonnage) ou cherche-t-il à diriger du trafic vers un autre site en utilisant, dans des résultats de recherche, la bonne réputation de votre site?
  7. Si votre site utilise une base de données, vous devriez examiner ses enregistrements sur votre serveur et y rechercher un contenu suspect.  Vérifiez la présence de « dommages collatéraux », par exemple la création inattendue d’utilisateurs sur le site lui-même ou d’autres modifications apportées à la base de données.
    1. Si le contenu trouvé dans la base de données n’est ni protégé par des « caractères d’échappement » ni fortement « typé », ce qui permettrait de limiter le texte de sortie généré, alors il est probable qu’il a effectivement été inséré à l’aide d’une « injection SQL » et qu’il existe une vulnérabilité sur le site permettant une telle activité. Une injection SQL se produit lorsqu’un utilisateur utilise intentionnellement du code mal écrit ou ancien pour insérer des enregistrements dans la base de données d’un site dont le texte s’affiche ensuite sur ce site sous la forme de contenus incontrôlables, notamment des pourriels, des URL ou des contenus répréhensibles. Des utilisateurs malveillants peuvent également utiliser votre base de données pour stocker des données obtenues de façon illégale en vue d’une récupération ultérieure par d’autres pirates.
  8. Si vous pensez disposer d’une sauvegarde intacte du site, vous pouvez comparer les fichiers en utilisant les commandes « diff » ou « md5sum ». Vous devriez ajouter à votre liste de fichiers suspects à nettoyer ultérieurement tous les fichiers pour lesquelles des différences non prévues ont été trouvées.

 

  • Nettoyez le contenu malveillant repéré
  1. Si vous avez une sauvegarde intacte et à jour, vous pouvez tout simplement restaurer cette sauvegarde.
  2. Toutefois, l’utilisation d’une telle sauvegarde pourrait réintroduire la vulnérabilité, quelle qu’elle soit, ayant permis, à l’origine, la publication du contenu malveillant. Après la restauration d’une sauvegarde, il convient d’effectuer les mises à jour et de modifier les mots de passe des utilisateurs.
  3. Si vous ne disposez pas d’une sauvegarde intacte et à jour, vous devez utiliser une démarche plus manuelle pour supprimer le contenu malveillant.
  4. Vérifiez la présence d’autres contenus malveillants (examinez les fichiers ayant le même horodatage ou le même emplacement).
  5. Supprimez tous les comptes utilisateur ou toutes les bases de données illégitimes.
  6. Vérifiez les autres sites hébergés sur le même serveur pour voir s’ils ont également été touchés. Vous pouvez rechercher un contenu similaire dans les autres sites. Les recherches et le nettoyage sur ces autres sites devraient s’effectuer selon les mêmes procédures.

 

  • Corrigez la vulnérabilité et sécurisez le site ou le compte

Déterminez la vulnérabilité ayant conduit à la publication du contenu malveillant.

  1. Les logiciels périmés doivent être mis à jour. Il s’agit non seulement du système d’exploitation et des utilitaires système, mais également des logiciels s’exécutant sur le site, notamment les systèmes de gestion de contenu, les plates-formes de publication de blogues, les applications ou les modules d’extension.
  2. Changez les mots de passe de tous les comptes liés à ce site Web. Cela inclut les comptes SSH ou FTP ainsi que les comptes au sein de l’application de gestion du site (par exemple Wordpress). En considérant que les pirates peuvent s’évertuer à craquer un mot de passe pendant plusieurs jours de suite avant d’être remarqués, le craquage d’un mot de passe faible est une tâche relativement aisée pour eux. Il est extrêmement important que tous les utilisateurs choisissent des mots de passe forts. Un mot de passe est raisonnablement fort lorsqu’il comprend des majuscules et des minuscules ainsi que des chiffres et des lettres. Un mot de passe digne de ce nom devrait avoir au moins huit caractères, sachant qu’en le rallongeant avec des symboles de ponctuation (!@#$%), il devient encore plus efficace.
  3. Vérifiez les permissions pas suffisamment sécuritaires dans le répertoire et les sous-répertoires du site.
    1. Exemple :
find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
  1. Vérifiez les permissions pas suffisamment sécuritaires dans les fichiers du site.
    1. Exemple :
find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  1. Vérifiez les infections virales sur le poste de travail de l’administrateur ainsi que sur le serveur lui-même.
    1. Dans ce cadre, utilisez plusieurs détecteurs de virus. Il est également utile de redémarrer le poste de travail en mode sans échec ou en mode mono-utilisateur avant d’utiliser le détecteur de virus afin d’être sûr que des extensions utilisées pour cacher un éventuel virus ne sont pas chargées par le système d’exploitation.

Les pratiques de codage permissives doivent être supprimées. On peut, par exemple, désactiver les inclusions de fichiers distants en PHP en limitant la commande « fopen » aux fichiers locaux. En utilisant abusivement ce type de vulnérabilités, les pirates peuvent non seulement obtenir le chargement et l’exécution à distance d’un code sur votre serveur, mais également rediriger vos visiteurs vers d’autres sites.

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk