Cette page est, en priorité, à destination des webmestres pour les sensibiliser sur la sécurité de leurs sites.
FTP vous êtes le maillon faible
Nous allons donc parler des infections qui permettent aux attaquants de s'introduire sur des sites WEB à travers l'usage de codes malveillants exécutés depuis les postes de travail. Ces infections ont pour but de, soit récupérer les mots de passe FTP (stealer), soit de pirater le site de manière automatique. Nous allons pour cela voir deux infections Sality/Trojan.Win32.Vilsel
Sality/Trojan.Win32.Vilsel
Cette infection se propage de manière automatique, elle est capable de voler les identifiants de connexions de FTP de la machine infectée ( où celles situées sur le même réseau, en employant des méthodes d'écoutes passives sur les flux / trafics ). Voici une vidéo qui vous montre le fonctionnement de l'infection
Sur la vidéo, l'infection permet de récupérer les informations de connexion FTP depuis le Windows infecté. Les identifiants sont interceptés lors de la connexion et non directement depuis le disque dur ou des logiciels installés tels que les clients FTP. Le PC se connecte alors au site et récupère l'intégralité des pages puis le code malveillant injecte (ajoute) un code JavaScript malicieux sur ces pages. Le code est souvent de petite taille et se limite à une simple redirection vers des kits d'exploits. Ci-dessous, la trace du journal du FTP, on observe l'apparition du fichier "zcv.gif".
Les futurs visiteurs qui ouvriront les pages du site nouvellement piraté pourront éventuellement voir leurs machines infectées si l'exploit zcv.gif réussi. Si certains visiteurs piratés sont des webmestres alors le cycle continuera et ainsi de suite.Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/index.htm", 14676 bytes, 3735.22Kbyte/sec
Wed Jan 13 09:47:42 2010 [pid 4911] [www-data] OK UPLOAD: Client "192.168.1.26", "//phpBB3/download/zcv.gif", 78336 bytes, 5702.57Kbyte/sec
Les attaquants apprécient cette méthode car elle possède un avantage certains. En effet, la connexion FTP a très peu de chance d'être filtrée / bloquée. Le pare-feu va donc autoriser la machine du webmestre à se connecter à son FTP.
Comme vous l'avez compris, le protocole FTP n'est pas sécurisé. Pour les nomades ( hôtels, cybercafés, etc ), évitez à tout prix de vous connecter à Internet depuis des points d'accès sans utiliser certaines précautions.
Trojan.Daurso / Win32/Bubnix / Tepfer
Voici un autre exemple avec le malware PWS.Win32.Daurso.A qui a fait des ravages. Le principe est un peu différent, Daurso.A qui est de la catégorie des stealers ( "to steal: dérober" ) récupèrent les identifiants (login + password) directement depuis les clients FTP installés sur l'ordinateur de la victime (FileZilla, CuteFTP etc). Ces informations sont ensuite transmises à l'attaquant. Dans le cas de Daurso, l'intrusion via la connexion FTP et les modifications du contenu du site sera effectuée par une machine tiers.
Voici le schéma :
![Image](https://www.malekal.com/fichiers/spywares/bubnix.png)
Une politique de sécurité et un filtrage au niveau du FTP pourra amplement limiter la casse.
Voir les pages (en anglais) : Quicksilver Malware Network et Beware: FileZilla Doesn’t Protect Your Passwords
Quelques pages sur le forum autour de Bubnix :
- Win32/Bubnix
- Supprimer Bubnix
- Comment se débarrasser de Bubnix
Exemple de témoignage : j'ai été touché sur mon site
Capture écran : On voit bien l'ajout de code JavaScript malicieux afin d'infecter les internautes par exploits lors des visites.
![Image](https://www.malekal.com/fichiers/spywares/Gumblar_vol_FTP.png)
Si lors d'une infection, vous avez un fichier xxxx32.exe dans Menu Démarrer / Programmes / Démarrage alors vous devez changer vos identifiants après désinfection
Le Trojan.Tepfer est basé sur le même principe.
Conclusion
D'autres infections peuvent récupérer des identifiants et autres informations de connexions ( c'est le cas de Gumblar/Trojan.Daonol ) ou tout simplement des enregistreurs de frappes de clavier, c'est le cas de Zbot / Zeus qui est capable d'injecter du code à la volée, de prendre des captures d'écran,... et il y a bien d'autres infections qui peuvent renifler les réseaux.
Pour les webmestres dont c'est le métier ( ou une passion qui occupe pas mal de temps ), dans la mesure du possible, il est vraiment conseillé d'avoir deux machines : une pour naviguer sur la toile et une dédiée à son activité de webmestre. Utilisez des protocoles plus sécurisés (ou au moins sFTP / FTPs) et appliquer une politique de filtrages sur les connexions entrantes / sortantes depuis vos serveurs.
Lire également, Sites web compromis, redirections malveillantes via fichier .htaccess.