Aller au contenu
Invision Board France

Comment nettoyer votre communauté d’une infection ?


Youp3

Il existe de nombreuses manières pour compromettre un site web, mais toutes ont un résultat similaire : les pirates essaient soit d’utiliser votre site pour distribuer des fichiers malicieux, soit de rediriger vos utilisateurs vers des sites infectés.

 

Il y a un certain nombre d’éléments communs que les pirates font et que vous devriez vérifier :

 

 

1. Ils vont toujours essayer de laisser un ou deux fichiers faisant office de porte dérobée sur votre système. Aussi est-il bon de comprendre quels fichiers sont légitimes sur votre installation et quels sont ceux qui ne devraient pas s’y trouver. Pour cela, vous pouvez comparer les fichiers présents sur votre site avec les fichiers d’une nouvelle installation qui est donc saine.

 

 

2. Regardez les fichiers php dont le nom est suspect (seulement deux lettres, nom qui semble aléatoire). Voici quelques exemples fictifs mais donnant une idée de ce qui peut se faire au niveau de la structure de nommage :

 

zx.php

sh.php

123482379874hjsdf8734.php

dsfjklsadjfklasdjfklads.php

ipbfirewall.php

 

En inspectant les fichiers, si vous trouvez des références à ipbfirewall, il ne s’agit pas d’un produit ou logiciel existant. Il s’agit d’un code malicieux essayant de se faire passer pour un code créé par IPS, vous pouvez donc le supprimer sans crainte.

 

Exemple d’un code IPB_Firewall NE VENANT PAS D’IPS

if ( ! defined( 'IPB_FIREWALL' ) ){    define('IPB_FIREWALL', 1);    /**     *  NOTE: This is a protecting web-firewall module generated by Invision Power     *  Module includes security patch for high-risks vulnerability CVE-2012-5692     *  Do not touch this file for security reasons     *  Please insert this code to as many php files as possible     *     *  @package    IP.Firewall     *  @version    $Revision: 9544 $     *  @md5        e66e6cadd6e13efea54ed50c0eb2d32b     *  @sha1       6966286d64352840245f5b2248545450     *  @crc32      5f51554f5445225d293d3d2463732965     */

Ils sont la plupart du temps placés dans le dossier racine, /cache, /public, /uploads mais peuvent se trouver ailleurs.

 

 

3. Un autre point à vérifier sont les noms de dossier. Vous pouvez à nouveau utiliser la technique de comparaison avec une nouvelle installation. Les pirates créent souvent des dossiers aux noms aléatoires ou ressemblants à un nom existant.

 

 

4. Si vous voyez des fichiers étranges dans ces dossiers, il y a des chances qu’ils n’aient rien à faire là. Vour pouvez les ouvrir afin d’inspecter le code et ainsi déterminer s’il s’agit de fichiers légitimes ou non. Gardez à l’esprit que si vous avez installé des applications ou des mods écrits par des tierces parties, ces logiciels peuvent souvent nécessiter d’autres fichiers.

 

 

5. Après avoir nettoyé tous les fichiers suspicieux, la prochaine étape est de renvoyer sur votre serveur les fichiers de toutes les applications installées sur votre communauté, en prenant bien soin d’écraser les fichiers existants. Le mieux est d’envoyer les fichiers issus des archives zip téléchargées chez IPS.

 

 

6. Une fois que c’est terminé, connectez-vous à votre panneau d’administration. Vous devriez voir le message « Le cache FURL n’est pas à jour. ». Suivez le lien et cliquez sur « Reconstruire le cache FURL » afin de corriger l’erreur. Ce dernier est normal, car provoqué par les nouveaux fichiers que vous venez d’envoyer sur le serveur.

 

 

7. Reconstuisez les modèles HTML et les CSS et recachez vos thèmes. Il est possible qu’une infection se soit insérée dans vos modèles. Ceci est souvent réalisé en modifiant les fichiers de cache des thèmes. En reconstruisant les modèles puis le cache, vous ferez disparaître cela.

Pour effectuer ces opérations, allez dans « Apparence » puis « Outils de modèle ».

Dans la section « Reconstruire les données du thème maître », cochez toutes les cases et validez en cliquant sur le bouton « Reconstruire ».

Une fois l’opération terminée, retournez dans les « Outils de modèle » et recachez tous les thèmes.

 

 

8. Il est aussi possible que l’attaquant infecte vos fichiers de langage. Afin de corriger ce genre de problème, allez dans « Apparence » puis « Langage ». Dans le menu du langage anglais, choisissez « Reconstruire depuis le XML… ». Cela reconstruira le langage anglais comme s’il venait d’être installé. Pour les autres langues comme le français, procédez comme si vous en faisiez une mise à jour, en prenant soin d’utiliser les fichiers issus des archives zip téléchargées sur notre site.

 

 

9. Un autre problème courant est la modification par l’intrus du fichier .htaccess, conf_global.php, initdata.php ou index.php pour y ajouter du code permettant des redirections ou autres actions. Vérifiez donc que ces fichiers contiennent uniquement du code licite. L’écrasement des fichiers effectué à l’étape 5 corrige les fichiers « index.php » et « initdata.php », mais pas les fichiers « .htaccess » ou « conf_global.php ». Il vous faut faire le ménage manuellement.

 

 

10. Une chose que vous devez vous assurer est que les mots de passe des administrateurs et des personnes ayant accès au PCA ont été modifiés après le nettoyage, ainsi que les accès FTP. Vérifiez bien que seules les membres connus et identifiés ont accès au PCA. Il est aussi recommandé de changer le mot de passe de votre base de données. Renseignez vous auprès de votre hébergeur si vous ne savez pas comment effectuer ce dernier point.

 

 

11. Le réimport de vos crochets est un autre élément que vous devez faire depuis le PCA. Allez dans « Système », « Applications & modules », « Gérer les crochets » et choisissez « Réimporter les crochets ».

 

 

12. La dernière étape est de lancer les outils du centre de sécurité du PCA : « Système », « Système », «Centre de sécurité ».

 

 


Article inspiré de How to clean your site from infection par Rikki Tissier.


Retour utilisateur

Commentaires recommandés

Ya une astuce fournir par IPS, pour que ces scripts ne fonctionne pas pour les dossiers cache, uploads...

 

il faut placer cela dans un .htaccess (CHMOD 444)

#<ipb-protection>
<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>
<Files ~ "^.*\.(ipb)$">
Header set Content-Disposition attachment
</Files>
#</ipb-protection>
Lien vers le commentaire
Partager sur d’autres sites



Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Ajouter un commentaire…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.