Posted on

Limiter le risque de virus sur votre site Web

Les défis les plus difficiles sont ceux qui changent constamment.

Un logiciel de site Web malveillant a récemment vu un afflux de code polymorphe auto-répliquant qui infecte un site Web (et donc un serveur Web) avec un accès d’exécution de code à distance pour lancer des attaques supplémentaires et compromettre les données sur le site Web et le serveur violés.

Lors d’un incident récent, nous avons entièrement nettoyé un site Web dans un environnement non Web basé sur une analyse WordFence Premium.

Après avoir déployé cette base de code dans notre environnement de test, en quelques secondes, elle a été réinfectée selon les résultats d’analyse de WordFence lorsque nous les avons visualisés en direct.

Cela nous a conduit à créer une règle de configuration NGINX permettant uniquement à l’adresse IP de notre équipe d’accéder au site Web, dans le but d’empêcher les «robots» apparents de réattaquer notre site avec du code armé pour exploiter automatiquement notre pile technologique (WordPress, PHP / MySQL, Linux – dans le seul VPS d’un fournisseur de cloud populaire).

Malheureusement, cela a également empêché WordFence de « téléphoner à la maison » pour les mises à jour (ainsi que la validation d’une clé de licence Premium valide installée, j’en suis sûr.) Cela nous a conduit à mettre en liste blanche leur plage d’adresses IP de 69.46.36.0 à 69.46.36.32. Le scan a fonctionné … et boum …

More malware.

Pendant que nous travaillions pour nous assurer que le site Web était activement analysé pour ce que nous manquions, nous avons fait un pas en avant dans le sens de regarder le serveur Web lui-même.

Il existe quelques actions critiques qui aident à répondre aux incidents d’intrusion sur le site Web:

      • Examiner les journaux du serveur Web sous Linux @ /var/log/apache2/access.log & error.log or /var/log/httpd/access.log & error.log
      • Executer la commande netstat -ntap pour identifier les connexions réseaux. Vous pouvez combiner cela avec la commande watch , telle que watch "netstat -ntap" avec un enregistreur de terminal (des outils comme https://asciinema.org/ sont formidables pour cela !)
      • Effectuez une capture de paquets à l’aide de tcpdump et déployez la version « la plus propre » du site Web dont nous disposons

Cela nous donne beaucoup d’informations sur la manière d’agir ensuite. Premièrement, nous pouvons identifier via les journaux du serveur Web quelles URL sont frappées par un bot pour déclencher une réinfection, et identifier l’adresse IP des robots qui atteignent ces URL.

Il est extrêmement important de documenter correctement s’il devient nécessaire d’impliquer la justice, dans le cas de vol de carte de crédit et de vol d’identité.

Pendant que nos ingénieurs système travaillaient du côté serveur, nous avons continué à étudier la base de code.

Nous avons bloqué les adresses IP. Encore une autre réinfection.

Nous avons désactivé cron. Plus de réinfections.

Mais maintenant, nous ne voyions que « index.php », ainsi qu’un shell PHP aléatoire abandonné (e.g.: « wp-content/uploads/maps-backup/xxxxxx.php »)

Retour à plus d’analyse de code. Étant donné que ce site avait plus de 30 plugins, dont certains étaient des plugins « abandonnés » (drapeau rouge majeur), nous avons décidé de rechercher des problèmes plus courants. Peut-être étions-nous trop près des arbres pour voir la forêt?

En utilisant un scanner de vulnérabilité TimThumb (une vulnérabilité très populaire avec des plugins WordPress obsolètes / abandonnés), nous avons identifié UN fichier TimThumb vulnérable!

Alors, nous avons patché et redéployé, croisant les doigts …

Boom, un site propre. L’étape suivante? Sauvegarde d’instantanés et surveillance continue du site Web automatiquement à l’aide de plugins WordPress, et manuellement par notre réseau 24/7 et notre centre d’opérations de sécurité. La gestion continue de la version principale de WordPress, des plugins, de la gestion des vulnérabilités, de la mise en place d’un pare-feu d’application Web et bien plus encore sont les prochaines étapes pour continuer à assurer la sécurité de cette entreprise.

Notre équipe aimerait connaître votre expérience avec les logiciels malveillants polymorphes et auto-réplicatifs! Envoyez-nous un e-mail à tout moment à [email protected] ou en appelant au09.75.65.09.71.

-L’équipe SECURELI.com