Piratage et Hack site web et Javascript malveillant

Un billet concernant les hacks de sites WEB et l’ajout de script malveillant afin de rediriger les internautes vers des Exploits sur site WEB.

A l’heure où il est très facile de monter son site WEB (CMS gratuits et plus ou moins faciles à mettre en place, des offres d’hébergement abordables), on assiste à une démocratisation de l’internet où des personnes qui n’ont pas les pre-requis techniques se retrouvent webmaster et se voit leur site pirater afin d’infecter leurs visiteurs.

Le but ici c’est d’essayer de comprendre comment fonctionne ces scripts malvaillant et que faire en cas de piratages de son site.

Piratage côté client

Côté client, le piratage du site se traduit par l’ajout de code malveillant qui a pour but de rediriger l’internaute via du contenu malveillant.
La redirection se fait en général par l’intermédiaire d’un TDS.
Les scripts malveillant sont en général assez visibles.

Exemple de JavaScript Malveillant

Voici à quoi peux ressembler des scripts malveillants, la plupart utilisent le langage JavaScript.
Pour plus d’informations sur JavaScript, lire la page : JavaScript : qu’est-ce que ? et sécurité et virus

Le site jv-habitat.com qui contient du script malveillant qui a pour but de rediriger vers le TDS http://phprfceegzegwgfw.ru/in.cgi?17 qui va à son tour rediriger vers un exploit kit.
Le script malveillant est visible à droite avec la longueur liste de chiffre entre coupée de virgules.

Piratage et Hack site web et Javascript malveillant

Script assez similaire, on retrouve :

Piratage et Hack site web et Javascript malveillant

Autre exemple, pris sur le billet suivant suite à des attaques qui touchaient WordPress : https://www.malekal.com/2012/02/01/wordpress-mass-hack-pour-dropper-le-rogue-internet-security/
Piratage et Hack site web et Javascript malveillant

Quelques autres exemples pris sur ce site : http://redleg-redleg.blogspot.fr/p/examples-of-malicious-javascript.html

Piratage et Hack site web et Javascript malveillant

Piratage et Hack site web et Javascript malveillant

Piratage et Hack site web et Javascript malveillant

Piratage et Hack site web et Javascript malveillant

Interpréter les JavaScript malveillants

Les scripts ci-dessus sont offusqués, le but étant de cacher le code final à des humains, mais aussi empécher la récupération automatique et échapper aux détectons antivirales.
Le résultat final de ces scripts est en général, une simple iframe avec le lien vers lequel on est redirigé.

Le site http://jsunpack.jeek.org/ peux vous permettre de « traduire » le code malveillant.
Ci-dessous, on peut constater que le script en question créé une iframe vers une adresse en .ru.
Le but étant de rediriger les internautes vers cette adresse lors de la connexion au site piraté.

Piratage et Hack site web et Javascript malveillant
Vous pouvez aussi prendre la page HTML (il vaut mieux avoir désactiver le javascript de son navigateur WEB ou avoir mis NoScript par exemple), de l’enregistrer et de la scanner comme un simple fichier.

Voici le résultat des scans des pages HTML avec les 2 premiers scripts malveillant en exemple ci-dessus :

https://www.virustotal.com/file/b0f7d74227126cf9a28136261269f9b1c918a0bf7d1c15ee6266667cce3d61d5/analysis/1346095718/

SHA256: b0f7d74227126cf9a28136261269f9b1c918a0bf7d1c15ee6266667cce3d61d5
 File name: sitetest.html
 Detection ratio: 4 / 42
 Analysis date: 2012-08-27 19:28:38 UTC ( 0 minute ago )

AntiVir JS/iFrame.OK 20120827
 Fortinet JS/Obfuscus.AACB!tr 20120827
 Ikarus Exploit.JS.Blacole 20120827
 Sophos Mal/Iframe-W 20120827

~~

https://www.virustotal.com/file/59e3e0ce0de6e69de74a239868be74265051af53c6b52ce09abefb252ff07cc1/analysis/

SHA256: 59e3e0ce0de6e69de74a239868be74265051af53c6b52ce09abefb252ff07cc1
 File name: testsite.html
 Detection ratio: 7 / 42
 Analysis date: 2012-08-28 07:07:22 UTC ( 0 minute ago )

AntiVir JS/RunForest.H 20120828
 AVG Script/Exploit.Kit.N 20120828
 Emsisoft Exploit.JS.Blacole!IK 20120828
 eSafe - 20120826
 ESET-NOD32 JS/Kryptik.VL 20120827
 Fortinet JS/Obfuscus.AACB!tr 20120828
 Ikarus Exploit.JS.Blacole 20120828
 Kaspersky Trojan.JS.Iframe.abv 20120828

Comme vous pouvez le constater, les détections ne sont pas mirobolantes.
Scanner son site ou le visiter avec son antivirus personnel ne permet pas de conclure si ce dernier est sain ou non.

Le scanner sucuri peux aussi s’avérer utile : http://sitecheck.sucuri.net/scanner/ 

Piratage et Hack site web et Javascript malveillant

 

 

Piratage et Hack site web et Javascript malveillant

Piratage côté Serveur

Petit rappel, ce que l’on voit du côté client (c’est à dire, le code HTML sur le navigateur WEB du visiteur) n’est pas ce que l’on a du côté serveur.
Les exemples ci-dessus peuvent être le résultat d’un code différent qui se trouve sur les pages du serveur WEB.

Code PHP malveillant

Dans le cas par exemple d’un hack d’un CSM en PHP, les JavaScripts malveillant peuvent être générés à partir d’un code PHP.
Par exemple, on peux encoder le script en base64.

Piratage et Hack site web et Javascript malveillant
et décoder de la manière suivante via un script PHP :
Piratage et Hack site web et Javascript malveillant
A l’execution du script PHP, on retrouve notre Javascript malveillant :
Piratage et Hack site web et Javascript malveillant

Autres exemples de piratage de site internet

L’encodage base64 est assez facilement reconnaissable à travers une suite de lettres/chiffres en majuscules/minuscules.
Quelques autres cas sur le forum avec des sites WEB contenant un JavaScript malveillant :

https://forum.malekal.com/site-web-infeste-par-blackhole-exploit-kit-t43779.html
https://forum.malekal.com/probleme-virus-blackhole-forum-micro-edtion-livre-t43685.html
https://forum.malekal.com/infection-site-decode-ahr-exploit-blacole-t43662.html

Au final, c’est le code PHP en rouge qui produit le JavaScript :

Piratage et Hack site web et Javascript malveillant
Le site PHP decode : http://ddecode.com/phpdecoder/ permet de décoder une portion :

Piratage et Hack site web et Javascript malveillant
On obtient alors ceci : http://pjjoint.malekal.com/files.php?read=20130622_u7j9z13k13b8

Ci-dessus une fonction qui utilise CURL, on devine alors que le site va aller chercher sur une URL une portion de code qui permet ensuite de générer le Javascript.
Cela permet de générer un javascript différent par jour afin que les antivirus ne le détectent pas.

Piratage et Hack site web et Javascript malveillant

La fonction qui créé le javascript :
Piratage et Hack site web et Javascript malveillant

Pour trouver ce qui génère le script malveillant, il faut donc faire une recherche dans les pages PHP du site sur les mots eval, base_64 ou preg_replace
Notez que ce n’est souvent pas suffisant, plus d’informations sur la page : Détecter les Backdoor PHP

Après désinfection du site

Après avoir nettoyé les pages malicieuses du site, il convient de :

  • Dans le cas d’un CMS, changer tous les mots de passe administrateur.
  • Modifier les mots de passe FTP, si le service est utilisé pour modifier les pages du site.
  • S’assurer que le ou les PC qui accède(nt) en FTP au site WEB ne sont pas infectés (exemple avec Hack WEB site par vol FTP) – Un scan avec Malwarebyte’s Anti-Malware est recommandé.
  • Scanner le contenu du site avec un antivirus.
  • Sécuriser ton site, notamment dans le cas d’un CMS, mettre à jour ce dernier et les extensions. Dans le cas de WordPress, vous pouvez vous reporter à ce billet : Sécuriser WordPress

Sécuriser son site WEB

Vous pouvez aussi jeter un oeil à la page : [réseau] Sécuriser un serveur Apache/PHP/MySQL (LAMP) et l’index menant à différentes ressources pour sécuriser son site WEB

(Visité 47 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet