Comment récupérer d'un piratage de logiciels malveillants de redirection malveillants

Publié: 2022-10-18

L'une des tactiques les plus populaires des attaquants malveillants consiste à ajouter un logiciel malveillant de redirection vers un site dans le but de diriger le trafic vers un autre site. Cela peut être préjudiciable non seulement au propriétaire du site, mais également aux visiteurs du site. Une redirection malveillante amène souvent un visiteur du site sans méfiance vers des sites de spam ou même des sites qui pourraient infecter l'ordinateur de l'utilisateur avec des logiciels malveillants qui peuvent être difficiles à éliminer.

Dans cet article, nous parlerons de ce qu'est un logiciel malveillant de redirection malveillant, pourquoi les pirates utilisent cette tactique, comment déterminer si votre site est affecté ou non par ce logiciel malveillant et quelques solutions possibles pour récupérer votre site contre les effets d'un logiciel malveillant de redirection malveillant .

De plus, nous décrirons quelques étapes importantes pour vous assurer que votre site reste protégé une fois récupéré.

Qu'est-ce qu'un logiciel malveillant de redirection malveillant ?

Une redirection malveillante est un code, généralement Javascript, qui est inséré dans un site Web dans le but de rediriger le visiteur du site vers un autre site Web. Souvent, ce malware malveillant est ajouté à un site Web WordPress par des attaquants dans le but de générer des impressions publicitaires sur un autre site. Cependant, certaines redirections malveillantes peuvent avoir des implications plus graves. Une redirection malveillante plus grave peut exploiter les vulnérabilités potentielles de l'ordinateur d'un visiteur du site. Ce type de malware vise à installer un malware qui infecte un ordinateur personnel avec un malware malveillant qui peut être très dommageable pour l'ordinateur Mac ou Windows d'un utilisateur.

Déterminer si votre site est infecté

Les propriétaires de sites peuvent ignorer que leur site est en train de rediriger. Souvent, les redirections malveillantes sont masquées afin que seuls les utilisateurs non authentifiés (qui ne sont pas connectés) soient redirigés. Ou, il peut détecter le navigateur que l'utilisateur utilise lorsqu'il visite le site et rediriger uniquement avec ce navigateur particulier. Par exemple, s'ils visent à exploiter un ordinateur personnel avec des logiciels malveillants qui ne peuvent infecter que les versions vulnérables de Chrome, seuls ceux qui utilisent cette version détectée par le script malveillant seront redirigés. Il faudra peut-être une enquête pour déterminer ce qui se passe.

Un propriétaire de site pourrait tenter de reproduire la redirection signalée par un client, seulement pour voir que tout lui semble correct sur son ordinateur. Les visiteurs du site sur les plates-formes mobiles peuvent en même temps subir des activités malveillantes. La redirection peut se produire sur certaines pages et pas sur d'autres. Ou cela peut arriver avant même que le site ne se charge.

Piratage de redirection WordPress

Pourquoi mon site WordPress redirige-t-il vers un autre site ?

Si votre site redirige, il existe quelques méthodes que les attaquants peuvent utiliser pour créer une redirection. Bien sûr, tout cela peut être un moyen très valable de créer une redirection, mais dans les cas malveillants, ce n'est certainement pas dans l'intérêt du visiteur du site. Voici quelques méthodes utilisées par les attaquants pour rediriger. Les principales méthodes de redirection incluent soit une redirection .htaccess, soit une redirection Javascript. Dans de rares cas, vous pouvez trouver un en-tête HTTP (par exemple, la redirection META HTTP-EQUIV=REFRESH), mais ceux-ci sont rares. Dans de nombreux cas, la redirection est masquée, ce qui signifie que des fonctions sont utilisées pour masquer la véritable intention du code. Cet obscurcissement est souvent la première clé que quelque chose ne va pas, mais les attaquants parient que la plupart des propriétaires de sites WordPress seront intimidés par l'obscurcissement et ne voudront pas creuser plus profondément.

Où se trouve exactement l'infection de redirection ?

Il existe plusieurs domaines dans lesquels les pirates insèrent leur code malveillant pour provoquer un piratage de redirection WordPress.

1. Fichiers PHP

Un attaquant peut infecter votre site en insérant du code dans l'un des fichiers principaux de WordPress. Voici quelques-uns des fichiers susceptibles de contenir le code malveillant à l'origine de votre problème :

Les attaquants peuvent infecter le site Web en injectant du code dans l'un des fichiers principaux de WordPress. Vérifiez ces fichiers pour le code malveillant. Si vous n'êtes pas sûr du code malveillant et de ce qui ne l'est pas, vous pouvez toujours comparer les fichiers à de bonnes copies connues du noyau WordPress ou à vos fichiers de thème et de plug-in.

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • Fichiers de thème (wp-content/themes/{themeName}/)
    • header.php
    • fonctions.php
    • footer.php

2. Fichiers JavaScript

Certaines des variantes des logiciels malveillants de redirection auront un impact sur tous les fichiers JavaScript (.js) de votre site. Cela inclura les fichiers Javascript dans le plugin, les dossiers de thèmes et wp-includes.

Et généralement, le même code malveillant sera ajouté tout en haut ou en bas de chaque fichier JavaScript.

3. Le fichier .htaccess

Votre fichier .htaccess est un ensemble de directives qui indiquent à votre serveur Web ce qu'il doit faire dès qu'il reçoit une demande d'un visiteur du site. Il s'engage avant PHP, avant tout appel à votre base de données, et il peut détecter certaines "variables d'environnement" qui informent un peu votre serveur sur le système sur lequel se trouve un utilisateur, comme son navigateur, le type d'ordinateur, et même si la requête pour les pages de votre site provient d'un robot d'exploration de moteur de recherche.

Si vous ne savez pas à quoi ressemble un fichier WordPress .htaccess normal, une grande partie du code dans .htaccess peut prêter à confusion. Et, si vous téléchargez le fichier .htaccess sur votre disque dur pour y jeter un coup d'œil plus approfondi, il peut souvent disparaître sur vous avec de nombreux ordinateurs personnels considérant ce type de fichier comme un "fichier caché".

Le piratage pharmaceutique très courant où un code malveillant est ajouté dans le fichier .htaccess ne redirigera souvent les visiteurs du site que s'ils proviennent d'une page de résultats de moteur de recherche.

Les pirates placent leur code malveillant de manière à ce que vous ne puissiez pas le trouver caché dans le fichier, sauf si vous faites défiler vers la droite. Cela rend beaucoup plus difficile de repérer et de supprimer ces hacks de redirection.

3. La base de données WordPress

Les tables wp_options et wp_posts sont généralement les tables d'une base de données WordPress ciblées par les pirates insérant des redirections malveillantes. Le code Javascript peut être trouvé intégré dans chacun de vos messages ou même dans chacun d'eux. Vous pouvez souvent également trouver des redirections dans votre table wp_options si elles sont masquées dans les widgets.

4. Faux fichiers favicon.ico

Il existe des logiciels malveillants qui créeront un fichier .ico aléatoire ou un fichier favicon.ico escroc sur le serveur de votre site, qui contiendra du code PHP malveillant. Ces fichiers .ico contiendront la redirection malveillante qui sera ensuite incluse dans un autre fichier sur votre site.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Récupération rapide d'une redirection malveillante

Si vous avez été victime d'un hack de redirection malveillant, le moyen le plus rapide et le plus simple de récupérer de ce type de logiciel malveillant consiste à restaurer à partir d'une bonne sauvegarde connue. Si vous effectuez des sauvegardes régulières de votre site avec BackupBuddy, vous savez que vous disposez d'une sauvegarde récente contenant une bonne copie de votre site. La restauration de votre site à partir d'une bonne sauvegarde connue est un excellent moyen de remettre votre site en état de fonctionner rapidement.

Bien sûr, si vous utilisez un site dont le contenu change fréquemment, la meilleure défense contre une redirection malveillante est une bonne sauvegarde récente et une détection d'intrusion afin d'être alerté rapidement d'un problème. De cette façon, vous pouvez agir rapidement et minimiser les temps d'arrêt.

Bien sûr, vous devez ensuite consulter vos journaux d'accès pour déterminer comment le pirate est également entré pour placer la redirection.

Remarque sur les domaines complémentaires

L'un des moyens les plus courants de piratage des sites WordPress consiste à utiliser des domaines complémentaires non entretenus ou des installations supplémentaires de WordPress dans votre compte d'hébergement. Vous avez peut-être configuré un site de test pour voir si quelque chose pourrait fonctionner dans le même compte, et vous avez oublié cette installation. Un pirate le découvre et exploite les vulnérabilités du site non maintenu pour installer des logiciels malveillants sur votre site principal. Ou peut-être avez-vous également hébergé le site d'un membre de votre famille dans le même espace pour économiser de l'argent, mais ils réutilisent des mots de passe compromis.

Il est toujours préférable d'avoir un site WordPress dans un compte d'hébergement, ou si vous utilisez plusieurs sites dans le même compte d'hébergement, assurez-vous qu'ils sont isolés les uns des autres et utilisez un utilisateur serveur différent pour chaque site. De cette façon, la contamination croisée d'un site vulnérable à un autre site adjacent ne peut pas se produire.

Si vous avez plusieurs sites dans votre compte d'hébergement, vous devrez traiter tous les sites fonctionnant dans le même espace (par exemple, tous les sites fonctionnant sous public_html) comme s'ils étaient tous contaminés par des logiciels malveillants de redirection. Si vous avez un cas comme celui-ci, assurez-vous que chacune de ces étapes est effectuée pour chacun des sites de cette instance d'hébergement. Si vous n'êtes pas sûr, vérifiez auprès de votre fournisseur d'hébergement.

Analyse de votre site à la recherche de logiciels malveillants de piratage de redirection WordPress

Si vous ne disposez pas d'une sauvegarde propre récente, vous pouvez toujours supprimer vous-même les logiciels malveillants. Cela peut être un processus fastidieux et vous devrez chercher plus que simplement rediriger les logiciels malveillants. Il est plus courant que les logiciels malveillants de redirection soient accompagnés d'autres logiciels malveillants, y compris des portes dérobées et des utilisateurs administrateurs non autorisés, et vous devrez également déterminer comment le pirate est entré, souvent appelé le « vecteur d'intrusion ». Ne pas adopter une approche holistique de la suppression des logiciels malveillants garantit que le problème de redirection reviendra.

iThemes Security Pro dispose d'une fonction de détection de changement de fichier qui vous alertera si des changements de fichiers se produisent sur votre site Web, tels que des changements qui indiqueraient un piratage de redirection ou des portes dérobées.

Voici notre processus de suppression des logiciels malveillants recommandé.

1. Sauvegardez le site

Oui, même si le site est infecté, vous voudrez conserver les preuves de ce qui s'est passé. Considérez n'importe quel piratage comme une scène de crime, et vous voudrez savoir ce qui s'est passé et quand. Les horodatages de fichiers seront utiles dans votre enquête lorsque vous déterminerez comment l'intrusion s'est produite afin que vous puissiez l'empêcher de se reproduire.

2. Déterminez si vous devez supprimer le site

Avec une redirection malveillante, vous souhaiterez peut-être désactiver temporairement votre site pour maintenance. Toutes les redirections ne le justifient pas, mais si votre site redirige vers un endroit qui pourrait endommager l'ordinateur d'un utilisateur, l'arrêt du site pendant un certain temps éviterait d'autres dommages.

Si vous pensez que le pirate est toujours actif sur le site (si vous ne le savez pas, supposez qu'il le soit), supprimer le site et le rendre inaccessible peut éviter d'autres dommages.

Chaque situation sera différente; vous devrez prendre cette décision en fonction de ce qui se passe.

3. Copiez le site sur un lecteur local

En gardant votre sauvegarde, copiez le site sur un lecteur local. Nous vous recommandons d'effectuer un nettoyage sur un lecteur local à l'aide d'un éditeur de texte, de comparer localement et d'examiner tous les fichiers - de vos fichiers PHP et Javascript à vos fichiers .htaccess - dans une situation locale inaccessible à Internet. De cette façon, vous disposez d'un environnement contrôlé pour examiner les fichiers. Vous pouvez télécharger une nouvelle copie de WordPress, votre thème et vos plugins et effectuer des comparaisons de fichiers avec votre site piraté pour voir quels fichiers ont été modifiés et quels fichiers n'appartiennent tout simplement pas. Il existe de nombreux outils de comparaison de fichiers que vous pouvez utiliser.

4. Supprimez les redirections et les portes dérobées cachées

Lorsque vous parcourez vos fichiers, vous pouvez soit remplacer les fichiers contenant des logiciels malveillants par de bonnes copies connues, soit si vous êtes à l'aise pour le faire, vous pouvez supprimer les fichiers qui ne devraient pas s'y trouver (généralement des portes dérobées) et les lignes de code cela ne devrait pas être là avec un éditeur de texte.

Vérifiez votre répertoire /wp-content/uploads et tous les sous-répertoires pour les fichiers PHP qui ne devraient pas s'y trouver.

Certains fichiers seront différents de tout ce que vous aurez téléchargé à partir du référentiel WordPress.org. Ces fichiers incluent votre fichier .htaccess et votre fichier wp-config.php. Ceux-ci devront être examinés de près pour tout code malveillant errant. Les deux peuvent contenir des redirections et le fichier wp-config.php peut contenir des portes dérobées.

5. Téléchargez vos fichiers nettoyés sur votre serveur

Pour éliminer tous les logiciels malveillants à la fois, empêchant l'accès à toutes les portes dérobées qui étaient actives sur le site piraté, téléchargez votre site nettoyé à côté de votre site piraté. Par exemple, si votre site piraté se trouve sous /public_html/, téléchargez votre site propre à côté de celui-ci sur /public_html_clean/. Une fois là-bas, renommez le répertoire live /public_html/ en /public_html_hacked/ et renommez /public_html_clean/ en public_html. Cela ne prend que quelques secondes et minimise les temps d'arrêt si vous choisissez de ne pas mettre votre site hors service au début du processus de nettoyage. Cela vous empêche également d'essayer de nettoyer un site en direct piraté sous attaque en jouant à "Whack-a-mole" avec un attaquant actif.

Maintenant que les fichiers sont nettoyés, vous avez encore du travail à faire. Vérifiez que le site semble correct sur le front-end, ainsi que dans wp-admin.

6. Recherchez les utilisateurs administrateurs malveillants

Recherchez les utilisateurs administratifs malveillants qui ont été ajoutés à votre site. Dirigez-vous vers wp-admin> utilisateurs et vérifiez que tous les utilisateurs administrateurs sont valides.

7. Changez tous les mots de passe administratifs

Considérez que tous les comptes administrateur sont compromis et configurez de nouveaux mots de passe pour tous.

8. Protégez-vous contre les enregistrements malveillants

Dirigez-vous vers wp-admin > paramètres > général et assurez-vous que le paramètre « Adhésion » nommé « N'importe qui peut s'inscrire » est désactivé. Si vous avez besoin que des utilisateurs s'inscrivent, assurez-vous que le "Rôle par défaut du nouvel utilisateur" est défini uniquement sur Abonné et non sur Administrateur ou Éditeur.

9. Recherchez dans la base de données tous les liens malveillants

Recherchez manuellement dans votre base de données WordPress les fonctions PHP malveillantes de la même manière que vous l'avez fait pour trouver des problèmes dans le système de fichiers. Pour ce faire, connectez-vous à PHPMyAdmin ou à un autre outil de gestion de base de données et sélectionnez la base de données utilisée par votre site.

Recherchez ensuite des termes tels que :

  • Éval
  • scénario
  • Gzgonfler
  • Base64_decode
  • Str_replace
  • preg_replace

Soyez extrêmement prudent avant de modifier quoi que ce soit dans la base de données. Même un tout petit changement, comme l'ajout accidentel d'un espace, peut faire tomber votre site ou l'empêcher de se charger correctement.

10. Sécurisez le site

Parce qu'il y a eu une intrusion, vous devez supposer que tout ce qui est associé à votre site a été compromis. Modifiez le mot de passe de votre base de données dans le panneau de votre compte d'hébergement et les informations d'identification dans votre fichier wp-config.php afin que votre site WordPress puisse se connecter à votre base de données WordPress.

Changez également votre mot de passe SFTP/FTP, et même le mot de passe de votre compte cPanel ou d'hébergement.

11. Vérifiez les problèmes avec Google

Connectez-vous à votre console de recherche Google et voyez si vous avez des avertissements de sites malveillants. Si tel est le cas, examinez-les pour voir si vos correctifs ont résolu le problème. Si oui, demandez un avis.

12. Installez la sécurité iThemes

Si vous n'avez pas encore installé et configuré iThemes Security, c'est le meilleur moment. iThemes Security est le meilleur moyen de protéger votre site contre les intrusions

13. Mettez à jour ou supprimez tout logiciel vulnérable

Si vous avez des logiciels, des thèmes, des plugins ou des noyaux qui nécessitent une mise à jour, mettez-les à jour maintenant. S'il existe une vulnérabilité dans un plugin que vous utilisez qui n'a pas été corrigé (vous pouvez vérifier en utilisant iThemes Security), désactivez et supprimez complètement ce logiciel de votre site.

À ce stade, si vous avez verrouillé votre site, vous pouvez supprimer la notification de maintenance pour rendre votre site à nouveau accessible.

Empêcher une autre intrusion

Une fois que votre site est verrouillé et en ligne, il est essentiel que vous preniez des mesures pour empêcher que l'intrusion ne se reproduise. Vérifiez vos fichiers journaux pour voir comment l'intrusion s'est produite en premier lieu. Était-ce un logiciel vulnérable ? Était-ce un compte d'utilisateur administrateur compromis ? Était-ce une contamination croisée provenant d'une installation WordPress adjacente non entretenue ? Savoir comment l'intrusion s'est produite vous informera de prendre des mesures pour éviter qu'elle ne se reproduise à l'avenir.

De plus, l'utilisation d'iThemes Security est une première étape importante pour assurer la sécurité de votre site.

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Les attaquants supposent que les utilisateurs de WordPress ont moins de connaissances en matière de sécurité, ils trouvent donc des sites WordPress qui ne sont pas protégés et exploitent de mauvais mots de passe, des mots de passe réutilisés ou des logiciels vulnérables pour prendre pied dans des comptes d'hébergement sans méfiance.

Le rapport DBIR de Verizon pour 2022 indique que plus de 80 % des violations peuvent être attribuées à des informations d'identification volées, et il y a eu une augmentation de 30 % des informations d'identification volées en tant que principal vecteur d'intrusion par rapport à l'exploitation des vulnérabilités. C'est l'une des raisons pour lesquelles iThemes Security donne la priorité aux innovations en matière d'informations d'identification des utilisateurs, telles que les clés d'accès et l'authentification à deux facteurs, pour protéger les sites WordPress de ces intrusions.

Si vous avez vu quoi que ce soit dans cet article, nous espérons qu'il est important que vous preniez la sécurité au sérieux AVANT une violation. Vous pouvez économiser d'innombrables heures de maux de tête en révisant le code en quelques étapes seulement. Utilisez BackupBuddy pour faciliter la récupération et vous protéger contre les accès non autorisés à l'aide d'iThemes Security Pro.

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.

Obtenez iThemes Security Pro