Intrusions sur sites internet par vols d'identifiants FTP

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86890
Inscription : 10 sept. 2005 13:57
Contact :

Intrusions sur sites internet par vols d'identifiants FTP

Message par Malekal_morte » 16 janv. 2010 18:11

Une page concernant les intrusions et piratages sur sites WEB. J'espère pouvoir faire deux parties. La première sera consacrée aux infections qui récupèrent les identifiants de connexions aux différents services (FTP/SSH/...) et la seconde, si tant est qu'elle voit le jour, aux techniques utilisées.

Cette page est, en priorité, à destination des webmestres pour les sensibiliser sur la sécurité de leurs sites.

FTP vous êtes le maillon faible

Nous allons donc parler des infections qui permettent aux attaquants de s'introduire sur des sites WEB à travers l'usage de codes malveillants exécutés depuis les postes de travail. Ces infections ont pour but de, soit récupérer les mots de passe FTP (stealer), soit de pirater le site de manière automatique. Nous allons pour cela voir deux infections Sality/Trojan.Win32.Vilsel


Sality/Trojan.Win32.Vilsel

Cette infection se propage de manière automatique, elle est capable de voler les identifiants de connexions de FTP de la machine infectée ( où celles situées sur le même réseau, en employant des méthodes d'écoutes passives sur les flux / trafics ). Voici une vidéo qui vous montre le fonctionnement de l'infection


Sur la vidéo, l'infection permet de récupérer les informations de connexion FTP depuis le Windows infecté. Les identifiants sont interceptés lors de la connexion et non directement depuis le disque dur ou des logiciels installés tels que les clients FTP. Le PC se connecte alors au site et récupère l'intégralité des pages puis le code malveillant injecte (ajoute) un code JavaScript malicieux sur ces pages. Le code est souvent de petite taille et se limite à une simple redirection vers des kits d'exploits. Ci-dessous, la trace du journal du FTP, on observe l'apparition du fichier "zcv.gif".
Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/index.htm", 14676 bytes, 3735.22Kbyte/sec
Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/zcv.gif", 78336 bytes, 5702.57Kbyte/sec
Les futurs visiteurs qui ouvriront les pages du site nouvellement piraté pourront éventuellement voir leurs machines infectées si l'exploit zcv.gif réussi. Si certains visiteurs piratés sont des webmestres alors le cycle continuera et ainsi de suite.

Les attaquants apprécient cette méthode car elle possède un avantage certains. En effet, la connexion FTP a très peu de chance d'être filtrée / bloquée. Le pare-feu va donc autoriser la machine du webmestre à se connecter à son FTP.

Comme vous l'avez compris, le protocole FTP n'est pas sécurisé. Pour les nomades ( hôtels, cybercafés, etc ), évitez à tout prix de vous connecter à Internet depuis des points d'accès sans utiliser certaines précautions.


Trojan.Daurso / Win32/Bubnix / Tepfer

Voici un autre exemple avec le malware PWS.Win32.Daurso.A qui a fait des ravages. Le principe est un peu différent, Daurso.A qui est de la catégorie des stealers ( "to steal: dérober" ) récupèrent les identifiants (login + password) directement depuis les clients FTP installés sur l'ordinateur de la victime (FileZilla, CuteFTP etc). Ces informations sont ensuite transmises à l'attaquant. Dans le cas de Daurso, l'intrusion via la connexion FTP et les modifications du contenu du site sera effectuée par une machine tiers.

Voici le schéma :
Image

Une politique de sécurité et un filtrage au niveau du FTP pourra amplement limiter la casse.

Voir les pages (en anglais) : Quicksilver Malware Network et Beware: FileZilla Doesn’t Protect Your Passwords

Quelques pages sur le forum autour de Bubnix :
- Win32/Bubnix
- Supprimer Bubnix
- Comment se débarrasser de Bubnix

Exemple de témoignage : j'ai été touché sur mon site

Capture écran : On voit bien l'ajout de code JavaScript malicieux afin d'infecter les internautes par exploits lors des visites.

Image

Si lors d'une infection, vous avez un fichier xxxx32.exe dans Menu Démarrer / Programmes / Démarrage alors vous devez changer vos identifiants après désinfection

Le Trojan.Tepfer est basé sur le même principe.


Conclusion

D'autres infections peuvent récupérer des identifiants et autres informations de connexions ( c'est le cas de Gumblar/Trojan.Daonol ) ou tout simplement des enregistreurs de frappes de clavier, c'est le cas de Zbot / Zeus qui est capable d'injecter du code à la volée, de prendre des captures d'écran,... et il y a bien d'autres infections qui peuvent renifler les réseaux.

Pour les webmestres dont c'est le métier ( ou une passion qui occupe pas mal de temps ), dans la mesure du possible, il est vraiment conseillé d'avoir deux machines : une pour naviguer sur la toile et une dédiée à son activité de webmestre. Utilisez des protocoles plus sécurisés (ou au moins sFTP / FTPs) et appliquer une politique de filtrages sur les connexions entrantes / sortantes depuis vos serveurs.

Lire également, Sites web compromis, redirections malveillantes via fichier .htaccess.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86890
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack WEB site par vol FTP

Message par Malekal_morte » 05 mars 2011 14:04

Autres malwares qui volent les identifiants FTP : Backdoor:Win32/Votwup / Trojan.Win32.Swisyn ou encore Stealer Spambot, le combo gagnant
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86890
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack WEB site par vol FTP

Message par Malekal_morte » 18 juil. 2012 21:03

Juillet 2012 - PSW.Win32.Tepfer
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité