Rechercher sur ce blogue

mercredi 4 mai 2016

Mon site a été piraté, que faire ?



Suite à une demande récente d’une association qui s’est fait pirater son site web, je tiens à faire un article qui regroupera quelques conseils pour récupérer son site et se protéger à l’avenir.
Note : Si il s’agit d’un compte, l’article correspondant aux comptes piratés se situe à l’adresse suivante : http://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Je suppose dans la suite que vous avez accès au serveur pour y effectuer les manipulations nécessaires. Si ce n’est pas le cas, il faut voir avec votre administrateur système/web.

3 étapes pour savoir si mon site est piraté

Habituellement lorsqu’un site est piraté, on le remarque, des fichiers sont supprimés, des éléments changent, certains services ne fonctionnent plus…etc.
Que ce soit pour en avoir le cœur net ou pour simplement vérifier, il est intéressant d’analyser le serveur et le site à la recherche des traces d’un pirate.
Voici donc 3 étapes (non exhaustives) à suivre.

1. Observer les messages externes

L’exemple typique nous vient de Google, lorsque la phrase « Ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de recherche.
exemple de site hacké
Parfois, c’est votre antivirus qui détecte le site comme malveillant ou un autre outil comme Google Safebrowsing :
http://www.google.com/safebrowsing/diagnostic?site=leblogduhacker.fr
(Remplacez « leblogduhacker.fr » par votre site).
Si vous utilisez les Outils pour les webmasters de Google, vous aurez potentiellement un message et un moyen de régler le problème. Voici également d’autres informations de la part de Google : http://www.google.com/webmasters/hacked/
Votre navigateur peut également vous avertir :
site piraté Un problème a été détecté sur cette page
L’exemple suivant vient du navigateur Firefox. Pour recevoir plus d’informations sur les messages affichés, vous pouvez cliquer ici.

2. Observer les logs

Et dans d’autres cas vous observez par vous-même que quelque chose est suspect et qu’une intrusion est probable. Pour cela on peut notamment observer dans les logs (enregistrements de l’activité) du serveur web, des messages d’erreurs suspects. Pour cela il existe beaucoup de services comme URLVoid, Sucuri, ou Virustotal ainsi que des outils de scan de logs comme Scalp ou encore Fail2ban.
Il existe aussi les commandes classiques pour récupérer le contenu du répertoire de logs (/var/log). Ici un autre exemple avec la commande « last » sous Linux qui affiche la liste des derniers utilisateurs connectés ainsi que leur adresse IP :
last-login
Il est facile de repérer une adresse IP inhabituelle car elle ne correspond pas à votre adresse IP.
Pour de l’aide sur les adresses IP, je vous redirige par ici :
http://www.leblogduhacker.fr/donne-moi-ton-ip-je-te-dirai-qui-tu-es/
http://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/

3. Observer les fichiers modifiés

Enfin, vous pouvez également observer les derniers fichiers modifiés durant les 24 dernières heures (1 * 24) à l’aide de la commande Linux suivante :
find /repertoire-a-observer -mtime 1 -print | more

Récupérer un site piraté

Vient maintenant l’étape cruciale :  Comment récupérer un site piraté ?
Cela dépend beaucoup du travail de sauvegarde et de prévention que vous avez fait auparavant. Si le point précédent vous a permis de savoir qui est entré ou du moins comment il est entré sur votre serveur, vous pouvez supprimer/corriger les fichiers en questions afin de « patcher » la faille.
Si cela ne pose pas de problème pour vous et que vous préférez opter pour la solution brutale, vous pouvez réinstaller votre serveur mais sachez que si vous réinstallez par dessus un site faillible, le pirate reviendra sans problèmes.

Faire des analyses du serveur et du site

Un moyen plutôt sûr mais coûteux et de faire analyser votre serveur et/ou site. Pour cela il existe ce que l’on appelle des scanners de vulnérabilités comme Nikto (gratuit) ou Acunetix (payant).
Faire un test d’intrusion (pentest) est également le job des hackers éthiques, il existe divers types de prestations dont l’audit de sécurité en boîte noire (le hacker n’a pas connaissance du système interne) et l’audit de sécurité en boîte blanche (le hacker connaît le fonctionnement interne). Ces prestations sont souvent réservées aux grandes entreprises, mais en ayant acquis des connaissances en hacking vous serez tout de même en mesure d’analyser votre site ou votre serveur afin de détecter et déjouer vous même la plupart des attaques.

Installer des outils de détection d’intrusion

Ces outils sont divisés en deux groupes principaux : Les premiers vérifient les intrusions au niveau de la machine, les seconds vérifient les intrusions au niveau du réseau.
Parmi eux le plus populaire est probablement Snort, et vous aurez à maintenir des règles de sécurité.

Mettre à jour encore et toujours

Souvent les failles sont patchées via des mises à jour de sécurité. Faites donc absolument toutes les mises à jour que vous pouvez faire, et observez éventuellement si les patchs en question corrigent les vulnérabilités rencontrées.

À faire quoi qu’il arrive : Changer les mots de passe

Peu importe comment votre site a pu être sécurisé, il faut à présent que vous changiez tous les mots de passe. C’est-à-dire les mots de passe de votre compte (et de tous les autres comptes) sur le site et le serveur, le mot de passe de la base de données, etc… Car sécuriser un site en laissant un mot de passe au pirate, c’est lui permettre de revenir sans soucis.

Garder un site et un serveur sain à l’avenir

Pour que cela ne recommence pas à peine votre récupération terminée. Il faut garder en tête des bonnes pratiques.
Parmi les bonne pratiques, on notera les suivantes :

Sauvegarder régulièrement

En ayant sauvegardé vos fichiers régulièrement, il est bien plus facile de se remettre d’une attaque. Pensez donc à sauvegarder votre base de données, vos fichiers importants et tout ce dont vous avez besoin.

Surveiller ce qu’il se passe

C’est maintenant une bonne occasion d’installer des outils de monitoring pour votre serveur. On notera :
Vous pouvez également vous rendre sur l’article suivant dans lequel j’explique comment créer un site web sécurisé :
http://www.leblogduhacker.fr/creer-un-site-web-securise/
Vous y trouverez des conseils similaires à ceux-ci et d’autres astuces pour être et rester en sécurité.

Connaître les menaces et savoir s’en protéger

Je parle souvent des menaces et des moyens de s’en protéger, en ayant conscience de celles-ci vous saurez les éviter et comment réagir et cas de problème.
Par exemple :


Source.:

Aucun commentaire: