Blog GlobalSign

09 juin 2017

Repérer les logiciels malveillants sur votre site Web

Vous pensiez que seuls les sites louches et dangereux pouvaient abriter des malwares ? Détrompez-vous !

Les hackers téléchargent régulièrement leurs malwares vers de plus petits sites tout à fait légitimes.

Ils ne publient pas leur mode opératoire, mais ces pirates malintentionnés ont en ligne de mire des sites Web mal protégés auxquels ils s’attaquent pour toutes sortes de raisons allant du spam à l’envoi d’e-mails de hameçonnage, ou à l’exécution d’attaques par déni de service distribué (DDoS).

Pour déposer leurs malwares sur ces sites, ils disposent de tout un arsenal : travestissement de plug-in, manipulation de code source, redirection malveillante, téléchargements « de passage », hameçonnage, ou encore exploitation de portes dérobées...

On associe souvent, à tort, le piratage à la défiguration de site, alors que les hackers préfèrent souvent agir dans l’ombre, pour ne pas que vous sachiez que votre site Web a été piraté. Ces hackers veulent intervenir sur votre site à votre insu, et le plus sournoisement possible.

Souvent assez difficile à identifier, le malware injecté est savamment dissimulé sur votre site, même sur les plateformes d’hébergement sécurisé.

Nous vous avons préparé une liste d’outils pour vous aider à vous défendre et à identifier par vous-même l’éventuelle présence de malwares sur votre site.

Google Malware Checker

Avant toute chose, vérifiez rapidement si Google a détecté des problèmes sur votre site.

Vous pouvez utiliser le service de vérification de site gratuit de Google. Ce service utilise la technologie de navigation sécurisée de Google pour vérifier si votre site est potentiellement dangereux pour vos visiteurs.

Vous pouvez également inspecter votre site à partir du menu « État du site » de la Console Google. Si Google a déjà signalé que votre site hébergeait des malwares, le signal d’alerte disparaîtra une fois que vous aurez débarrassé votre site du logiciel malveillant. Efficace (et gratuit) pour identifier la présence de malwares sur votre site, cet outil constitue un bon point de départ.

Analyse anti-malware

Sucuri propose un outil en ligne gratuit de vérification de site qui vous permet de lancer manuellement une analyse anti-malware pour vérifier si votre site est infecté.

L’outil génère un rapport d’analyse de malwares et un rapport de surveillance de listes noires permettant de rechercher les signes clés de la présence de malwares, comme l’envoi de spams, la défiguration de site, etc.

La vérification est gratuite, mais en cas de détection de code malveillant, la mise en place d’une surveillance automatique est payante. Si vous découvrez que votre site a été infecté, vous pouvez choisir de supprimer vous-même le malware ou, si vous n’êtes pas très à l’aise avec ce type d’opération, vous pouvez confier à Sucuri le soin de s’en charger, moyennant finances.

Sucuri propose un plug-in pour les sites basés sous WordPress. Ce plug-in gratuit offre quelques fonctionnalités vraiment utiles comme le renforcement de WordPress, un panneau de notification des dernières connexions, une surveillance des listes noires et des notifications de sécurité, avec en prime une fonction de restauration automatique de sites, et la réinitialisation de mots de passe utilisateur.

Autre excellent site d’analyse anti-malware : SiteLock. Cet outil passe votre site Web au crible pour y détecter les malwares, injections de codes malveillants, iframes, scripts ou portes dérobées, et vous alerte de la mise sur liste noire de votre site par un FAI.

Accessible à partir de n’importe quel équipement connecté à Internet, cet outil permet d’analyser quotidiennement votre site. Pour rassurer les visiteurs sur la sécurité de votre site, il est fourni avec un bouclier de sécurité.

Enfin, Qualys propose sur son site un outil d’analyse gratuit qui identifie les programmes malveillants. Outre ses rapports de malwares, cette solution basée dans le Cloud signale d’autres vulnérabilités de votre site dans un rapport synthétique très digeste.

Surveillance et sauvegarde de code

La surveillance des modifications de code permet aussi de vérifier efficacement si votre site est infecté.

Sur ce créneau, le service Codeguard se révèle particulièrement performant. Il sauvegarde régulièrement vos données sur des plages horaires définies.

Pour fonctionner, le service se connecte à votre site et lance une première sauvegarde. Il effectue ensuite des sauvegardes régulières et vous alerte en cas de modifications.

Ainsi, au moindre écart, le service est capable de restaurer en un seul clic votre site à un état précédent. Cette solution qui combine sauvegardes et contrôles anti-malwares offre un vrai plus.

Plug-ins de sécurité WordPress

Si votre site tourne sous WordPress, WP Antivirus site protection est un excellent plug-in de sécurité qui vous protège contre les malwares, les portes dérobées, les chevaux de Troie et analyse les rootkits.

Il permet aussi d’analyser tous les plug-ins et fichiers multimédia déposés sur votre site. Il existe une version gratuite et une payante de ce plug-in. La version gratuite analyse votre site une fois par semaine. Pour des analyses plus fréquentes, vous devez acheter la version payante.

WordPress propose un autre plug-in gratuit : gotmls. Celui-ci analyse gratuitement votre site Web et supprime tout malware connu ou script malveillant, et vous en informe dans la section de la barre d’admin.  Il intègre une protection anti-DDoS de base et une fonctionnalité de renforcement des pages de Login dans WordPress.

Si vous faites partie des millions d’utilisateurs de WordPress, vous savez que l’un de ses gros avantages est le nombre de thèmes proposés.

C’est aussi une arme à double tranchant, car la plupart de ces thèmes proviennent de fournisseurs externes et doivent faire l’objet de vérifications d’authenticité et de sécurité. La pire chose qu’il puisse arriver est de s’apercevoir, au moment de lancer votre nouveau site, qu’il est truffé de malwares.

Heureusement, la solution est à portée de main. Vérifiez vous-même l’authenticité de votre thème à l’aide du plug-in de vérification dédié. Cet utilitaire vérifie que les fichiers du thème ne comportent aucun malware par injection connu, et contrôle les liens des pieds de page.

Outre les gains de temps et d’argent, un simple contrôle comme celui-ci vous permettra de protéger votre réputation.

Malware Detect (LMD)

Les utilisateurs plus avancés qui possèdent leur propre serveur (dédié ou virtuel) peuvent l’analyser à l’aide de Linux Malware Detect combiné au moteur antivirus ClamAV.

Fonctionnant au niveau serveur, ce logiciel de détection de malwares est particulièrement efficace pour détecter les portes dérobées PHP, les logiciels d’envois massifs et anonymes de spams comme Dark Mailer et d’autres fichiers malveillants.

By default, Maldet scans for every new file in the directories that were created in the last two days as it looks for malware. It uses a signature-based detection system and it receives its signature data from four engines (Network edge IPS, Community Data, ClamAV, user submission).

Maldet analyse par défaut tous les nouveaux fichiers créés pendant les deux derniers jours dans les répertoires, pour y rechercher d’éventuels malwares. Il utilise un système de détection basé sur les signatures et reçoit ses données de signature de quatre moteurs (IPS en périphérie de réseau, données communautaires, ClamAV, infos transmises par les utilisateurs).

Inspection manuelle

Si vous n’avez pas peur de soulever le capot et de mettre les mains dans le cambouis, vous pouvez également inspecter manuellement vos fichiers.

Les hackers sont particulièrement « friands » de fichiers comme les fichiers

Au premier abord, ces fichiers ne semblent présenter aucun danger, puisque les hackers prennent le soin d’y insérer leurs liens malveillants dans un format encodé en base64. Vous devrez donc rechercher un encodage base64 dans tous les répertoires ; ces types de fichiers étant facilement identifiables. Voici le lien pour décoder un format de chaîne base64.

Conclusion

Si les options évoquées plus haut peuvent vous aider à détecter les menaces tapies dans l’ombre de votre site, n’oubliez pas qu’aucune n’offre un taux de réussite de 100 % -- les pirates n’ayant de cesse de développer de nouveaux types d’attaques. Malgré cela, vous avez tout intérêt à conserver une longueur d’avance sur ces hackers. Je vous invite donc vivement à utiliser des outils comme ceux présentés ici pour détecter le plus en amont possible toute injection de code malveillant, avant qu’il ne soit trop tard.

Tony cherche à aider ses clients à maximiser leur présence en ligne. Cofondateur de Pickaweb, il est également l’auteur de « The Lazy Website Syndrome », un livre noté 5 étoiles sur Amazon, qui propose aux lecteurs une méthode en 3 étapes pour booster leur entreprise grâce au marketing en ligne. Tony vit actuellement dans le sud de l’Espagne.

Pickaweb propose une gamme complète de services pour les PME : noms de domaine, hébergement Web, hébergement de revendeur, serveurs virtuels dédiés, serveurs Cloud, serveurs dédiés, certificats SSL ainsi qu’un créateur de sites Web facile à utiliser.

Partager ce blog