Dépannage et directives concernant le maliciel Brobot

Description du problème

Brobot, aussi appelé PHP Brobot, est une infection par cheval de Troie qui peut attaquer les serveurs Web Windows et Linux offrant du scriptage PHP. La majorité des infections sont causées par des applications de gestion du contenu vulnérables (comme des installations Joomla ou Wordpress désuètes ou non sécuritaires). Le cheval de Troie Brobot permet aux pirates disposant d’un accès d’utiliser votre serveur dans des attaques par déni de service (DDoS) et de mettre en place une porte dérobée vers votre serveur pour y exécuter d’autres commandes ou y récupérer des renseignements confidentiels. Cette infection par cheval de Troie est habituellement propre au site Web qui héberge les fichiers compris dans l’infection et n’indique pas une menace à l’échelle du serveur ni une menace au niveau de l’administration ou du root.

 

Plateformes vulnérables

  • Serveurs Web avec un interpréteur de scripts PHP

 

Exigences pour la résolution

  • Une recherche des fichiers infectés doit être effectuée sur le système entier, car plusieurs sites peuvent être infectés sans avoir déjà été détectés.
  • Il faut restaurer les fichiers infectés à partir d’une sauvegarde ou annuler les modifications qu’ils ont subies. Puisque les sites Web infectés pourraient renfermer d’autre contenu malveillant semblable mêlé aux pages Web légitimes, vous ne devez pas simplement supprimer les fichiers infectés, car il pourrait s’agir de pages Web valides qui ont été modifiées par un tiers à votre insu.
  • Des mesures doivent être prises pour empêcher une réinfection.

 

Recommandation pour la résolution

Si vous ne possédez pas déjà une copie de sauvegarde de votre site, veuillez en créer une. Elle pourrait vous être utile si un problème survient au moment d’apporter les correctifs nécessaires.

 

Suppression du matériel infecté

Vous pouvez utiliser la commande suivante pour détecter les pages infectées dans le site Web (au besoin, modifiez la partie /home/*/public_html) :

find /home/*/public_html/ -type f -regex ".*php" | xargs egrep -rl ‘(php.*eval\(gzinflate|base64_decode\(\$_REQUEST\[|eval\(base64_decode *\(|*md5\(md5 *\()’

 

Repérez également le fichier php.class.php dans /tmp, /var/tmp et /dev/shm. Ce script est un agent de réinfection téléchargeant des fichiers sur le serveur.

 

Suppression du vecteur utilisé pour infecter le matériel

Il est important que vous retiriez le contenu impliqué dans l’attaque par des maliciels, mais également que vous repériez la vulnérabilité qui a permis qu’un tel contenu soit placé sur votre site. Une fois que sera supprimé le contenu incriminé, corrigez les vulnérabilités qui ont donné lieu à l’attaque.

  • Système de gestion du contenu ou des logiciels vulnérables

Nous vous demandons de vérifier tous les logiciels et toutes les applications Web qui s’exécutent sur le serveur et de confirmer qu’ils sont à jour ou que les plus récentes mises à jour de sécurité y sont installées. Parmi de telles applications, on trouve Apache, les panneaux de configuration (Plesk, cPanel) ou les systèmes de gestion de contenu de sites Web (joomla!, wordpress, drupal); les modules d’extension, les modules et les thèmes sont également concernés. https://kb.iweb.com/hc/fr/articles/230267528

 

  • Permissions relatives aux fichiers et aux dossiers peu sûrs

Les fichiers et les dossiers contenus sur votre site Web ne doivent pas être associés à des permissions de lecture-écriture complètes pour tout le monde. Pour la plupart des fichiers, seules les permissions 644 (-rw-r--r--) sont requises, et pour les répertoires, seules les permissions 755 (-rwxr-xr-x) sont généralement requises. Assurez-vous de vérifier également quel est le propriétaire de ces fichiers et de ces répertoires.

  • Mots de passe faibles ou volés (notamment pour les comptes FTP et SSH)

Veuillez appliquer une politique de sécurité des mots de passe et modifier tous les mots de passe des comptes touchés. N’utilisez pas de mots de passe par défaut. Au strict minimum, un mot de passe doit contenir des lettres majuscules et minuscules, ainsi qu’au moins un chiffre, et ne pas être dérivé d’un mot tiré du dictionnaire. Nous vous recommandons d’installer un logiciel de détection des intrusions (comme ConfigServer Security & Firewall ou Fail2Ban) pour protéger vos comptes contre les attaques par force brute.

 

  • Fichiers .htaccess modifiés et autres fichiers malveillants

Bien souvent, des scripts Java ou iframe malveillants sont chargés sur un site Web par l’intermédiaire de fichiers, de portes dérobées ou de services de publipostage PHP. Ceux-ci doivent être retirés.

  • Veuillez également vérifier tous les fichiers récemment modifiés associés au contenu Web touché, ainsi que tous les fichiers contenus dans les dossiers touchés et les autres fichiers vulnérables.
  • Nous vous recommandons également d’installer Maldet (LMD) et ClamAV, et de lancer régulièrement des analyses de tous vos sites Web et de vos répertoires /var et /dev/shm.
  • Vous pouvez parfois obtenir des renseignements utiles sur une attaque en consultant votre fichier access_log.
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk