Piratage/Hack site web et Javascript malicieux

Un billet concernant les hacks de sites WEB et l’ajout de script malicieux afin de rediriger les internautes vers des Exploits sur site WEB.

A l’heure où il est très facile de monter son site WEB (CMS gratuits et plus ou moins faciles à mettre en place, des offres dhébergement abordables), on assiste à une démocratisation de l’internet où des personnes qui n’ont pas les pre-requis techniques se retrouvent webmaster et se voit leur site pirater afin d’infecter leurs visiteurs.

Le but ici c’est d’essayer de comprendre comment fonctionne ces scripts malicieux et que faire en cas de piratages de son site.

Côté Client

Côté client, le piratage du site se traduit par l’ajout de code malicieux qui a pour but de rediriger l’internaute via du contenu malicieux.
La redirection se fait en général par l’intermédiaire d’un TDS.
Les scripts malicieux sont en général assez visibles.

Voici à quoi peux ressembler des scripts malicieux  :

Le site jv-habitat.com qui contient du script malicieux qui a pour but de rediriger vers le TDS http://phprfceegzegwgfw.ru/in.cgi?17 qui va à son tour rediriger vers un exploit kit.
Le script malicieux est visible à droite avec la longueur liste de chiffre entre coupée de virgules.

Script assez similaire, on retrouve :

Autre exemple, pris sur le billet suivant suite à des attaques qui touchaient WordPress : http://www.malekal.com/2012/02/01/wordpress-mass-hack-pour-dropper-le-rogue-internet-security/

Quelques autres exemples pris sur ce site : http://redleg-redleg.blogspot.fr/p/examples-of-malicious-javascript.html

Les scripts ci-dessus sont offusqués, le but étant de cacher le code final à des humains, mais aussi empécher la récupération automatique et échapper aux détectons antivirales.
Le résultat final de ces scripts est en général, une simple iframe avec le lien vers lequel on est redirigé.

Le site http://jsunpack.jeek.org/ peux vous permettre de « traduire » le code malicieux.
ci-dessous, on peux voir que le script en question créé une iframe vers une adresse en .ru


Vous pouvez aussi prendre la page HTML (il vaut mieux avoir désactiver le javascript de son navigateur WEB ou avoir mis NoScript par exemple), de l’enregistrer et de la scanner comme un simple fichier.

Voici le résultat des scans des pages HTML avec les 2 premiers scripts malicieux en exemple ci-dessus :

https://www.virustotal.com/file/b0f7d74227126cf9a28136261269f9b1c918a0bf7d1c15ee6266667cce3d61d5/analysis/1346095718/

SHA256: b0f7d74227126cf9a28136261269f9b1c918a0bf7d1c15ee6266667cce3d61d5
File name: sitetest.html
Detection ratio: 4 / 42
Analysis date: 2012-08-27 19:28:38 UTC ( 0 minute ago )

AntiVir JS/iFrame.OK 20120827
Fortinet JS/Obfuscus.AACB!tr 20120827
Ikarus Exploit.JS.Blacole 20120827
Sophos Mal/Iframe-W 20120827

~~

https://www.virustotal.com/file/59e3e0ce0de6e69de74a239868be74265051af53c6b52ce09abefb252ff07cc1/analysis/

SHA256: 59e3e0ce0de6e69de74a239868be74265051af53c6b52ce09abefb252ff07cc1
File name: testsite.html
Detection ratio: 7 / 42
Analysis date: 2012-08-28 07:07:22 UTC ( 0 minute ago )

AntiVir JS/RunForest.H 20120828
AVG Script/Exploit.Kit.N 20120828
Emsisoft Exploit.JS.Blacole!IK 20120828
eSafe – 20120826
ESET-NOD32 JS/Kryptik.VL 20120827
Fortinet JS/Obfuscus.AACB!tr 20120828
Ikarus Exploit.JS.Blacole 20120828
Kaspersky Trojan.JS.Iframe.abv 20120828

 

Comme vous pouvez le constater, les détections ne sont pas mirobolantes.
Scanner son site ou le visiter avec son antivirus personnel ne permet pas de conclure si ce dernier est sain ou non.

 

Le scanner sucuri peux aussi s’avérer utile : http://sitecheck.sucuri.net/scanner/ 

 

 

Côté Serveur

Petit rappel, ce que l’on voit du côté client (c’est à dire, le code HTML sur le navigateur WEB du visiteur) n’est pas ce que l’on a du côté serveur.
Les exemples ci-dessus peuvent être le résultat d’un code différent qui se trouve sur les pages du serveur WEB.

Dans le cas par exemple d’un hack d’un CSM en PHP, les JavaScripts malicieux peuvent être générés à partir d’un code PHP.
Par exemple, on peux encoder le script en base64.


et décoder de la manière suivante via un script PHP :

A l’execution du script PHP, on retrouve notre Javascript Malicieux :

L’encodage base64 est assez facilement reconnaissable à travers une suite de lettres/chiffres en majuscules/minuscules.

Autres cas sur le forum avec des sites WEB contenant un JavaScript malicieux :

http://forum.malekal.com/site-web-infeste-par-blackhole-exploit-kit-t43779.html
http://forum.malekal.com/probleme-virus-blackhole-forum-micro-edtion-livre-t43685.html
http://forum.malekal.com/infection-site-decode-ahr-exploit-blacole-t43662.html

Au final, c’est le code PHP en rouge qui produit le JavaScript :

BlackHole_PHP_malicieux2
Le site PHP decode : http://ddecode.com/phpdecoder/ permet de décoder une portion :

BlackHole_PHP_malicieux
On obtient alors ceci : http://pjjoint.malekal.com/files.php?read=20130622_u7j9z13k13b8

Ci-dessus une fonction qui utilise CURL, on devine alors que le site va aller chercher sur une URL une portion de code qui permet ensuite de générer le Javascript.
Cela permet de générer un javascript différent par jour afin que les antivirus ne le détectent pas.

BlackHole_PHP_malicieux3

La fonction qui créé le javascript :
BlackHole_PHP_malicieux4

Pour trouver ce qui génère le script malicieux, il faut donc faire une recherche dans les pages PHP du site sur les mots eval, base_64 ou preg_replace
Notez que ce n’est souvent pas suffisant, plus d’informations sur la page : Détecter les Backdoor PHP

Après désinfection du site

Après avoir nettoyé les pages malicieuses du site, il convient de :

  • Dans le cas d’un CMS, changer tous les mots de passe administrateur.
  • Modifier les mots de passe FTP, si le service est utilisé pour modifier les pages du site.
  • S’assurer que le ou les PC qui accède(nt) en FTP au site WEB ne sont pas infectés (exemple avec Hack WEB site par vol FTP) – Un scan avec Malwarebyte’s Anti-Malware est recommandé.
  • Scanner le contenu du site avec un antivirus.
  • Sécuriser ton site, notamment dans le cas d’un CMS, mettre à jour ce dernier et les extensions. Dans le cas de WordPress, vous pouvez vous reporter à ce billet : Sécuriser WordPress

Sécuriser son site WEB

Vous pouvez aussi jeter un oeil à la page : [réseau] Sécuriser un serveur Apache/PHP/MySQL (LAMP) et l’index menant à différentes ressources pour sécuriser son site WEB

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 544 times, 2 visits today)

2 thoughts on “Piratage/Hack site web et Javascript malicieux

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *