93 Membres 1308 Contributions

Open Community

Votre site web est il compromis - 2

Publiée par Kevin D. - Arkoon dans technique

Deux points à vérifier pour s'assurer que son site web n'est pas compromis ont été présentés la semaine dernière.
Nous allons voir deux autres méthodes employées par les pirates: l'ajout de pages et répertoires et l'ajout de javascript dans les pages webs.

L'ajout de page et de répertoire est à peine moins furtif qu'un defacing mais laisse le site d'origine fonctionner normalement. Le pirate utilise le nom du site web, sa popularité et sa bande passante pour héberger ses données.
Pour s'en rendre compte, l'administrateur peut lire ses logs d'accès: s'ils contiennent des requêtes vers des dossiers inconnus, il faudra investiguer. L'administrateur peut consulter le contenu du site et vérifier les différences avec le site de préproduction (il existe des outils qui permettent de faire un "diff" entre des répertoires. Une méthode qui donne parfois des résultats consiste à demander à google quel est l'état de son site (via une recherche site:www.site.tld ou cache:www.site.tld).

Pour être encore un peu plus furtif, le pirate peut simplement ajouter un petit javascript dans certaines pages du site. Du point de vue de l'administrateur, le site fonctionne toujours, et une vérification rapide des pages du site ne montre rien d'évident, et les logs du serveur n'ont rien d'anormaux. Il faut alors comparer le site avec une version saine. Une autre méthode consiste à se connecter comme un utilisateur classique depuis une IP "neutre" et lire le code source des pages webs envoyées par le serveur pour trouver les pages webs contenant le code malveillant. Ce code peut avoir été ajouté en dur dans le code des pages webs, ce qui se détecte facilement. Mais cet ajout de code peut également être effectué à l'aide de la variable php auto_append_file qui comme son nom l'indique ajoute automatiquement à toutes les pages la valeur considérée.

Nous verrons la semaine prochaine comment les pirates compromettent les sites webs en modifiant les .htaccess ou en attaquant directement le serveur apache ou ses modules.

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte