J'espère pouvoir faire deux parties. La première sera consacrée aux infections qui récupèrent les informations de connexion FTP et la seconde, si tant est qu'elle voit le jour, aux hacks à proprement dit (si le site que j'ai mis en place se fait hacker :\).
Cette page est bien sûr, en priorité, à destination des webmaster pour les sensibiliser sur la sécurité de leurs sites WEB.
FTP vous êtes le maillon faible
Nous allons donc parler des infections qui hack des sites WEB à travers des infections sur les postes de travail.
Ces infections ont pour but de soit récupérer les mots de passe FTP (stealer), soit hacker le site de manière automatique.
Nous allons pour cela voir deux infections Sality/Trojan.Win32.Vilsel
Sality/Trojan.Win32.Vilsel
Cette infection se propage de manière automatique, elle est capable de voler les connexions FTP de la machine infectée (où via le réseau en sniffant).
Voici une vidéo qui vous montre le fonctionnement de l'infection
Comme le montre la vidéo, l'infection récupère les informations de connexion FTP depuis le PC infecté. Les informations de connexion sont récupérées lors de la connexion et non directement depuis le client FTP (écoute du réseau).
Une fois ces informations récupérées, le PC se connecte au site et récupère toutes les pages, l'infection injecte un javascript sur chaque page contenant un exploit qui pointera sur un fichier zcv.gif, le tout est ensuite réuploadé sur le site.
Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/index.htm", 14676 bytes, 3735.22Kbyte/sec
Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/zcv.gif", 78336 bytes, 5702.57Kbyte/sec
Les visiteurs qui ouvriront les pages du sites nouvellement hackés pourront éventuellement voir leurs machines infectées, si l'exploit réussi et que l'exécution de zcv.gif aussi.
Si l'un de ces visiteurs est un webmaster et qu'une connexion FTP est effectuée depuis le réseau/machine, le site pourra éventuellement être hacké à son tour et ainsi de suite.
L'avantage de cette infection est qu'une fois la machine/réseau du webmaster infecté, il y a de grande chance que les modifications du site réussissent, car la connexion FTP ne sera probablement pas bloquée par un pare-feu.
Le pare-feu laissant en général, la machine du webmaster se connecter par FTP.
Dans le cas d'un laptop, il convient de faire attention aux connexions FTP depuis des réseaux non sûrs (en général public, hôtel, cybercafé etc).
Trojan.Daurso / Win32/Bubnix
Voici un autre exemple avec le malware PWS.Win32.Daurso.A qui a fait des ravages.
Le principe est un peu différent, Daurso.A qui est de la catégorie des stealers récupèrent les informations de FTP depuis les clients FTP (FileZilla, CuteFTP etc).
Ces informations sont transmises à un serveur, la connexion FTP et la modification du site WEB sera donc effectuée par une machine tiers.
Voici le schéma :
Une politique de sécurité et un filtrage au niveau du FTP peut limiter la casse.
Voir les pages (en anglais) : Quicksilver Malware Network et Beware: FileZilla Doesn’t Protect Your Passwords
Lire les pages sur le malware Bubnix :
bubnix-winesm32-exe-ihaupd32-rootkit-agent-t23617.html
cheapfad-8080-passportblues-8080-bubnix-t25360.html
La désinfection : http://www.malekal.com/RKIT_Bubnix.S_Wi ... bnix.S.php
Un exemple avec ce topic : trojan-virus-svchost-exe-t25256.html#p209332
Les détections :
cheapfad-8080-passportblues-8080-t25360.html
bestlitediscover-228-194-237-t19492.html?hilit=:8080#p156850
nonfathighestlocate-208-199-t19499.html?hilit=:8080#p156910
On voit bien l'ajout de code javascript malicieux afin d'infecter les internautes par exploits lors des visites.
Si lors d'une infection, vous avez un fichier xxxx32.exe dans Menu Démarrer / Programmes / Démarrage - vous devez changer vos identifiants FTP après désinfection
Conclusion
D'autres infections peuvent récupérer les informations de connexion (c'est le cas de Gumblar/Trojan.Daonol) ou tout simplement des keylogguers à travers la frappe clavier par exemple, c'est le cas de Zbot/Zeus, d'autres infections installent Wincap afin de sniffer les trames réseaux.
A travers ces infections on voit que les auteurs de malwares visent les machines des webmasters comme porte d'entrée et le succès est au rendez-vous.
Pour les webmaster avancés, dans la mesure du possible, il est conseillé d'avoir un PC pour surfer et un PC dédié au webmastering, passer par du FTP sécurisé (sFTP ou FTPs voire du scp pour les warriors) et en autre avoir appliquer une politique de filtrage sur les connexions depuis votre serveur FTP (ou voire du Port Knocking).
Voir aussi : Quand et Pourquoi crypter/chiffrer ses connexions.
Enfin un autre sujet sur le hack de site WEB est disponible sur le forum : Hack Web Site : fichier .htaccess.
