GuppY, le CMS de référence sans base de données

telecharger.png


Vous êtes ici :   Accueil » BloggY » Infos
    Imprimer la page...

BloggY - Infos

Connectés : ( personne )
Que faire suite à une attaque Iframe via Gumblar, Martuz, Troj / JSRedir-R, ... ? !  -  par GuppYTeam
Suite à des demandes récurrentes sur le forum et bien que GuppY n'ait rien à voir avec des problèmes de sécurité liés à ce ver / cheval de Troie qui est connu sous différentes appellations et qui peut attaquer n'importe quel site quelle que soit sa programmation, nous vous donnons ci-dessous quelques informations pour lutter contre :
  • Gumblar, Martuz, Troj / JSRedir-R et consorts se propagent sur le Net via des sites web infectés en profitant de failles de logiciels qui ne sont pas à jour sur les PC des administrateurs, webmasters, modérateurs ou rédacteurs de sites qui ont accès aux FTP de leurs sites.
  • Des failles ont été notamment repérées sur les logiciels Adobe (Adobe Acrobat Reader, Adobe Flash Player, ...) non mis à jour mais il n'est pas exclu que d'autres logiciels non mis à jour puissent avoir des failles potentielles.
  • Si le cheval de Troie a réussi à s'installer sur le PC d'un des administrateurs, webmasters, modérateurs ou rédacteurs d'un site faute d'avoir un antivirus efficace et à jour, celui-ci récupère les codes d'accès FTP du site concerné et ensuite tout est évidemment possible.
  • Le site sera à son tour pollué par les pirates et va en polluer d'autres.
Comment s'aperçoit-on que son site est infecté :
  • Si votre antivirus ou votre anti-spyware vous indique une attaque iframe.
  • Si Google ou un autre moteur de recherche indique que votre site est dangereux.
  • Si votre hébergeur bloque le site pour cette raison.
  • Si votre navigateur vous redirige vers un site douteux ou qu'il vous demande si vous acceptez cette redirection.
  • Si vous vous apercevez que de nouveaux fichiers et/ou répertoires ont été installés à votre insu sur votre FTP ou que le poids de certains fichiers a changé.
  • ...
Que se passe-il sur le site infecté ?
  • Des fichiers sont altérés par des commandes d'iframe du genre :
"<.iframe src="http://site_pollueur.cn:8080/index.php" width=100 height=150 style="visibility: hidden"></iframe.>"
Car souvent les iframes sont invisibles sur le site (visibility: hidden)
  • Dans certains cas, les pirates installent des scripts plus ou moins puissants capables de lancer des attaques depuis votre site vers d'autres sites ou même vers votre serveur.
  • Dans d'autres cas une partie du code est codé en Base64 ce qui donne des chaînes du genre :
Qm9uam91cg== qui est égal à Bonjour confused
aWZyYW1l qui est égal à iframe confused
  • Les fichiers les plus couramment infectés sont les fichiers index avec n'importe quelle extension (html, htm, php,...), mais n'importe quel fichier et même des images ou faux fichiers d'images peuvent l'être !
     
Que faire en cas d'infection ?
  • Il faut d'abord scanner son PC avec un antivirus efficace et à jour ou un antispyware. A noter que le premier antivirus ou l'un des premiers à détecter et bloquer ces attaques est  Avast même dans sa version gratuite. Celui-ci a d'ailleurs été victime de railleries à cette époque en disant qu'il générait des "faux positifs".
  • Mettre à jour Windows ou son OS quel qu'il soit si ce n'est pas fait.
  • Mettre à jour ses logiciels (En particulier les logiciels Adobe).
  • Demander à tous les éventuels administrateurs, modérateurs ou rédacteurs de vos sites de faire de même.

En ce qui concerne la désinfection du site (ou des sites) lui-même si l'on est sous un PC Windows avec un hébergement mutualisé
:
  • Rapatrier le site en local via le FTP et le passer à l'antivirus
  • Rechercher les fichiers qui semblent être en plus lourds ou qui semblent avoir un poids différent.
  • Rechercher dans tous les fichiers des chaînes de caractères suspectes telles que iframe, hidden, ... Notepad++, entre autres, peut faire cela ainsi que comparer des fichiers de même nom (un fichier d'origine d'un pack GuppY neuf et un fichier de la sauvegarde du site pollué).
  • Remplacer ou réparer les fichiers infectés et supprimer les fichiers surnuméraires.
  • Passer à nouveau l'antivirus.
  • Changer les codes FTP (au moins le mot de passe) si possible depuis un autre PC qui n'a pas été infecté.
  • Envoyer à nouveau les fichiers et dossiers du site désinfecté sur le serveur.
  • Tester le site en ligne après avoir vidé le cache du ou des navigateurs. 

Si vous avez accès au serveur Linux / Unix via une console SSH (Cas d'un serveur dédié, semi-dédié, serveur privé virtuel (VPS) ) ou si votre site est hébergé chez vous sous Linux ou Unix
:
  • Vous pouvez faire une recherche sur tout ou partie du serveur ou des sites installés sur celui-ci à l'aide des commandes grep et find sur les mots clefs indiqués plus haut ou d'autres comme eval(base64_decode( , mais dans ce cas les habitués de Linux / Unix savent faire.
 
Précautions à prendre :
  • Mettre à jour ses logiciels et demander aux autres administrateurs du site de faire de même.
  • Mettre à jour les antivirus et antispywares et demander aux autres administrateurs du site de faire de même.
  • Eviter d'enregistrer ses mots de passe FTP en particulier et les taper à chaque fois.
  • Chmoder le plus de fichiers possibles en 444 (lecture seule) et en particulier les fichiers index et même les .htaccess.

Il ne faut évidemment pas chmoder de cette façon les fichiers qui doivent être en lecture / écriture tel que les fichiers de données et d'autres qui ne pourraient plus être édités ou incrémentés.
 
Un autre inconvénient du chmodage en lecture seule c'est qu'il faudra les remettre en lecture écriture (644 - 666) avant de placer un patch ou de faire une migration mais c'est le prix à payer pour avoir une certaine sécurité supplémentaire.
 
  • Il existe également des softs qui sont capables d'éradiquer ces troyens mais ils sont en général payants.
Ces explications glanées ici et là ainsi que le fruit de nos expériences personnelles ne sont en aucun cas exhaustives d'autant plus que ces malwares évoluent sans cesse.
 
Pour plus d'information il faut taper dans Google ou votre moteur de recherche favori l'un des mots clefs ci-dessous ou plusieurs d'entre eux :
Iframe Gumblar Martuz Troj / JSRedir-R

Bon courage en cas d'infection.
JeandePeyrat pour GuppY Team.
Publié le 02/06/2010 @ 16:19   | |    |