Type de logiciel malveillant : injection SQL

Quelle est la signification des pages signalées par le type d'infection par le logiciel malveillant "Injection SQL" dans Search Console ?

Le type d'injection de SQL signifie que la base de données du site a sans doute été piratée. Par exemple, le pirate informatique peut avoir ajouté du code malveillant dans tous les enregistrements d'un tableau de base de données. Ensuite, lorsque le serveur charge une page qui nécessite des informations de la base de données, le code malveillant est alors intégré dans le contenu de la page et peut éventuellement affecté les visiteurs du site.

Pour en savoir plus sur les logiciels malveillants, consultez la section Évaluer les dommages (piraté par un logiciel malveillant).

Comment puis-je rechercher le type de logiciel malveillant "injection SQL"  ?

Tout d'abord, vous ne devez pas utiliser de navigateur pour consulter les pages infectées de votre site. Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur.

Pensez à vérifier le comportement à l'aide des commandes cURL ou Wget afin d'effectuer des requêtes HTTP (pour explorer une page par exemple). Ces outils disponibles gratuitement sont utiles pour diagnostiquer des URL de redirection et ont la possibilité d'inclure des informations concernant des URL de provenance ou des user-agents. En diffusant du contenu malveillant uniquement aux internautes possédant des user-agents ou des URL de provenance particuliers, le pirate informatique peut cibler plus de "personnes réelles" et peut davantage échapper à la détection par les propriétaires de site et les détecteurs de logiciels malveillants. Votre site doit être en ligne pour utiliser ces outils.

Par exemple :
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <votre-url>
tel que :
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Vérifiez si des cybercriminels ont ajouté les mots tels que "iFrame" ou "eval" dans les résultats des commandes Wget ou cURL.

Connectez-vous ensuite au serveur de la base de données ou affichez votre base de données à l'aide d'un outil comme phpMyAdmin. Si vous avez utilisé les commandes Wget ou cURL, essayez de corréler les dommages détectés dans le code source de la page à travers les commandes Wget ou cURL avec les entrées réelles de la base de données. Par exemple, si vos pages contiennent un iFrame malveillant, vous pouvez procéder à une recherche de requête SQL pour le code iFrame. Par exemple :

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

Vous pouvez également rechercher des activités inhabituelles dans les journaux des bases de données et les fichiers d'erreur, comme les commandes SQL inattendues qui semblent être anormales pour les erreurs ou les internautes habitués.

Comment puis-je supprimer le type de logiciel malveillant "injection SQL" de mon site ?

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez soit mettre à jour tous les enregistrements de la base de données infectée, soit restaurer votre dernière sauvegarde de base de données connue.

Sachez que supprimer le code malveillant ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique d'infecter votre site. Si vous n'en corrigez pas la cause principale, votre site peut à nouveau faire l'objet d'un piratage. Pour en savoir plus sur le nettoyage d'un site piraté, consultez la page Assistance aux webmasters pour les sites piratés.

Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?