Malware de redirection freevar et cartoonmines : une menace sournoise sur le web
Sur l’immensité de la toile, il existe des formes de logiciels malveillants particulièrement complexes à éradiquer, le malware de redirection. Des entités telles que Cartoonmines, Freevar, Shbzek, et NewCaptchahere se distinguent particulièrement dans ce domaine.
Cartoonmines et Freevar : Comprendre leurs modes d’infection
Cartoonmines et Freevar sont des malwares qui cherchent à altérer les fichiers de votre serveur pour rediriger vos visiteurs vers des sites indésirables ou créer de fausses pages dissimulés en Japonais.
Méthodes d’infiltration détaillées
Les malwares de redirection, tels que Cartoonmines et Freevar, ont recours à une variété de techniques d’infiltration. Deux des méthodes les plus couramment utilisées sont le piratage des identifiants de connexion FTP ou SSH, et l’exploitation de failles de sécurité dans les applications web.
Piratage des identifiants de connexion FTP ou SSH
La méthode la plus directe d’infiltration est le piratage des identifiants de connexion. Dans ce scénario, les attaquants cherchent à obtenir illicitement les identifiants de connexion FTP ou SSH du serveur.
- FTP : Les attaquants peuvent utiliser des techniques d’attaque par force brute pour deviner votre mot de passe FTP, en essayant des milliers de combinaisons possibles en peu de temps. Une fois qu’ils ont accès, ils peuvent facilement modifier les fichiers de votre site pour y intégrer leur code malveillant.
- SSH : De la même manière, les attaquants peuvent exploiter les connexions SSH non sécurisées pour accéder à votre serveur. Un mot de passe SSH faible ou compromis peut donner aux attaquants un accès direct à votre système, leur permettant d’implanter le code de redirection.
Exploitation de failles de sécurité dans les applications web
Une autre voie d’infiltration courante est l’exploitation de vulnérabilités dans les applications web hébergées sur votre serveur.
- Injection SQL : Les pirates peuvent exploiter les vulnérabilités d’injection SQL pour insérer des commandes malveillantes dans votre base de données, ce qui peut conduire à une redirection non désirée.
- Cross-Site Scripting (XSS) : Si votre site est vulnérable aux attaques XSS, les attaquants peuvent insérer du code malveillant qui sera exécuté dans le navigateur de l’utilisateur lorsqu’il visite votre site. Ce code peut alors forcer la redirection vers un autre site.
- Inclusions de fichiers distants : Les attaquants peuvent également exploiter les failles qui permettent l’inclusion de fichiers distants (Remote File Inclusion ou RFI) pour exécuter du code malveillant hébergé sur un autre serveur.
Détecter une infection
Un signe potentiel d’infection pourrait être un code suspect ajouté à vos fichiers. Par exemple, vous pourriez trouver un code PHP ressemblant à :
if (isset($_GET['redirect']) && !empty($_GET['redirect'])) {
header('Location: '.$_GET['redirect']);
exit;
}
Détecter du code chiffré
Un code malveillant peut également être dissimulé sous forme de code chiffré ou encodé. Cela peut être réalisé à l’aide de diverses techniques d’encodage, comme base64. Par exemple, un bout de code malveillant chiffré pourrait ressembler à ceci :
$code = "ZWNobyAnaGVsbG8gd29ybGQnOw=="; eval(base64_decode($code));
Dans cet exemple, le code est encodé en base64 et le vrai code, qui est echo 'hello world';, n’est révélé que lorsque la fonction base64_decode est exécutée.
Détecter du code obfusqué
Le code obfusqué est une autre méthode utilisée pour cacher le véritable objectif du code malveillant. Les noms de variables et de fonctions peuvent être remplacés par des séquences de caractères aléatoires ou insignifiants pour rendre le code difficile à comprendre. Un exemple de code obfusqué pourrait être :
$a = str_replace('123','hello','123 world');
$b = str_replace('321','world','321 hello');
echo $a.$b;
Dans cet exemple, le code semble être sans rapport, mais il affiche « hello world » à l’écran lorsque le script est exécuté.
Il est donc essentiel d’être vigilant à la présence de codes chiffrés ou obfusqués dans vos fichiers, car ils pourraient être le signe d’une infection par un malware de redirection.
Shbzek et NewCaptchahere : Une autre menace, un autre modus operandi
Shbzek et NewCaptchahere, tout comme Cartoonmines et Freevar, sont conçus pour rediriger le trafic de votre site. Leurs méthodes d’implantation et d’opération diffèrent légèrement.
Chemins d’intrusion
Ces malwares sont généralement propagés par :
- Des plugins ou extensions compromis.
- Des thèmes piratés.
Identifier l’attaque
Un code malveillant injecté par ces malwares pourrait ressembler à :
window.location.href = "http://example.com";
Se prémunir contre ces malwares : Recommandations clés
Face à ces menaces, il existe des stratégies de défense essentielles à adopter :
- Maintenir à jour toutes les applications, thèmes et plugins sur votre serveur.
- Utiliser des mots de passe forts et changer ces derniers régulièrement.
- Effectuer des audits de sécurité réguliers.
- Scanner fréquemment vos fichiers à la recherche de codes malveillants.
- Limiter l’accès à votre serveur aux personnes nécessaires.
Naviguer en toute sécurité dans le paysage du web peut sembler complexe, mais avec une certaine vigilance et les outils appropriés, vous pouvez protéger efficacement votre site contre des menaces telles que Cartoonmines, Freevar, Shbzek et NewCaptchahere.
