Type de logiciel malveillant : Configuration du serveur

Quelle est la signification des URL contenant un type de logiciel malveillant "Configuration du serveur" dans Search Console ?

Cela signifie qu'un pirate informatique a modifié votre site de confiance afin que les visiteurs soient redirigés vers son site piraté contenant du logiciel malveillant, probablement en modifiant les fichiers de configuration de votre serveur. Les fichiers de configuration de serveur permettent en général à l'administrateur du site de spécifier les URL de redirection pour des pages ou des répertoires spécifiques d'un site Web. Par exemple, sur les serveurs Apache, il s'agit des fichiers .htaccess et httpd.conf.

Pour en savoir plus sur les sites piratés pour distribuer des logiciels malveillants, consultez la section Évaluer les dommages (piraté par un logiciel malveillant).

Comment puis-je vérifier le comportement de redirection du type de logiciel malveillant "Configuration du serveur" ?

Tout d'abord, vous ne devez pas utiliser de navigateur pour consulter les pages infectées de votre site. Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur.

Pensez à vérifier le comportement à l'aide des commandes cURL ou Wget afin d'effectuer des requêtes HTTP (pour explorer une page par exemple). Ces outils disponibles gratuitement sont utiles pour diagnostiquer des URL de redirection et ont la possibilité d'inclure des informations concernant des URL de provenance ou des user-agents. En diffusant du contenu malveillant uniquement aux internautes possédant des user-agents ou des URL de provenance particuliers, le pirate informatique peut cibler plus de "personnes réelles" et peut davantage échapper à la détection par les propriétaires de site et les détecteurs de logiciels malveillants. Votre site doit être en ligne pour utiliser ces outils. Par exemple :

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </votre-url-infectée>
tel que
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
L'exploration d'une page avec une infection de type "configuration du serveur" peut renvoyer l'en-tête suivant :
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Comment puis-je supprimer le type de logiciel malveillant "configuration du serveur" de mon site ?

Connectez-vous à votre serveur via l'accès shell/terminal (le site peut être mis hors connexion au besoin) et examinez les fichiers de configuration pertinents du serveur. Le pirate informatique est susceptible d'avoir modifié plusieurs fichiers de configuration du serveur. Vérifiez les instructions indésirables contenues dans ces fichiers, telles que les redirections dans lesquelles le pirate informatique peut configurer votre site pour le rediriger vers des sites pirates de logiciel malveillant inconnus. Par exemple, dans .htaccess :

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
En outre :
  • Vérifiez bien l'intégralité du fichier au cas où le pirate informatique aurait ajouté son code à la fin du fichier où il est plus facile de le rater.
  • Explorez les tâches cron potentielles créées par le pirate informatique qui sont conçues pour mettre à jour continuellement le fichier .htaccess. Les tâches cron peuvent être répertoriées dans divers emplacements, y compris /etc/crontab (ainsi que dans de nombreux répertoires /etc/cron*) et /var/spool/cron.

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez soit remplacer les fichiers de configuration du serveur par une sauvegarde non infectée connue, soit supprimer le code indésirable du fichier. Veillez à redémarrer votre serveur Web si cela s'avère nécessaire pour activer les nouveaux fichiers de configuration.

Supprimer le type de logiciel malveillant "configuration du serveur" permet de récupérer un site piraté, mais ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique d'attaquer votre site. Il pourrait donc être amené à recommencer. Pour en savoir plus sur le nettoyage de l'ensemble de votre site, consultez la section Piratage de type logiciel malveillant dans la documentation visant à récupérer un site piraté.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?