Techniques pour trouver des Backdoor

Techniques pour trouver des Backdoor

Trouver un Backdoor sur site Web n’est pas une tâche facile parce que sa fonction principale est de se garder caché au yeux du propriétaire du site Web.

Quelles est alors la technique pour identifier un Backdoor ?

Recoupement de Whitelist & Blacklist

Liste blanche

Nous savons à quoi ressemblent les bons fichiers. L’un des moyens d’identifier un fichier légitime est sa somme de contrôle : une signature numérique du fichier qui peut être comparée aux bons fichiers connus.

Par exemple, nous pouvons comparer le site Web individuel aux fichiers de base officiels des principaux systèmes de gestion de contenu (CMS), comme WordPress, Joomla, Magento, Drupal, Prestashop et autres. Nous avons également la somme de contrôle pour la plupart des plugins, modules, extensions et thèmes.

En utilisant cette technique de whitelisting, nous pouvons dire immédiatement si l’un des fichiers de base a été modifié ou si un nouveau fichier a été ajouté. De cette façon, nous pouvons ignorer en toute sécurité les bons dossiers, ce qui élimine une partie importante du travail.

Liste noire

Les grands organismes de sécurité (Sucuri Cloudflare, Kaspersky…) maintiennent une liste évolutive avec des milliers de portes dérobées et leurs variations.

Le blacklisting de ces signatures malveillantes les empêche de s’exécuter sur les sites Web des clients et s’assure qu’elles sont rapidement détectées.

Vérifications des anomalies

Exemple de la procédure SUCURI

“Lorsqu’un fichier n’est pas dans la liste blanche des fichiers de base et également dans la liste noire des signatures de fichiers malveillants, nous effectuons nos vérifications d’anomalies.

Nous analysons toutes les fonctions/variables et les inspectons manuellement pour voir s’il s’agit de portes dérobées. De là, nous les signalons pour enquête si nous ne pouvons pas vérifier que le dossier est bon. Nos analystes de sécurité professionnels peuvent enquêter davantage dans le cas d’une nouvelle porte dérobée ou d’une porte dérobée très complexe.

Lorsque nous trouvons une nouvelle porte dérobée, nous mettons à jour nos listes noires et nos moteurs de corrélation pour les attraper à l’avenir. Si après avoir analysé les fonctions et les variables, nous découvrons qu’elles ne sont pas nuisibles, nous les ajoutons à notre liste blanche.”

Prévention

Vous pouvez prendre certaines mesures pour protéger votre site Web de l’infection initiale :

  • Gardez tous vos logiciels à jour.
  • Gardez l’œil ouvert pour tout type de fichiers étranges sur votre serveur, en particulier les fichiers contenant des fautes de frappe.
  • Utilisez des mots de passe forts et différents.
  • Utilisez un pare-feu d’application de site Web qui agit comme un filtre virtuel invisible pour les pirates et les attaques potentielles.
  • Si vous utilisez WordPress, installez le scanner Sucuri gratuit (ou un scanner payant type WORDFENCE, payant mais qui étudie plus de cas de figures) pour surveiller et auditer votre site.

Conseils pour nettoyer un site Web compromis

Si vous essayez de nettoyer un site compromis par vous-même, nous avons quelques recommandations.

Tout d’abord, remplacez tous les fichiers que vous pouvez (fichiers de base, plugins, etc.) par des fichiers sains connus. Ensuite, analysez manuellement les fichiers personnalisés qui ne peuvent pas être écrasés pour vous assurer que votre site Web est propre.

Il est essentiel que toutes les portes dérobées soient fermées pour nettoyer avec succès un piratage, sinon votre site sera réinfecté rapidement.

Tiré de l’article original paru sur SUCURI : https://blog.sucuri.net/2018/07/ask-sucuri-how-do-you-find-website-backdoors.html

Sécurité : Rapport sur les sites Web piratés en 2017 SUCURI

Sécurité : Rapport sur les sites Web piratés en 2017 SUCURI

Les dernières tendances en matière de sécurité, de logiciels malveillants et de piratage dans les sites Web compromis.

Ce rapport est basé sur les données recueillies et analysées par le Sucuri Remediation Group (RG), qui comprend l’Incident Response Team (IRT) et l’Malware Research Team (MRT).

Il analyse plus de 34 000+ sites Web infectés et partage les statistiques associées à :

  • Applications CMS open-source affectées
  • Analyse des listes noires
  • Familles de logiciels malveillants et leurs effets

Introduction sur le rapport 2017 SUCURI

Le rapport sur les sites Web piratés est un rapport produit par Sucuri. Il résume les dernières tendances par mauvais acteurs, identifiant les dernières tactiques, techniques et procédures (TTPs) vues par le Groupe de Remédiation (RG).

Ce rapport s’appuiera sur les données des trimestres précédents, y compris les données mises à jour pour 2017.

La seule constante que vous trouverez dans ce rapport est la question des administrateurs de sites Web mal formés (c.-à-d. les webmasters) et leur effet sur les sites Web.

Ce rapport fournira des tendances basées sur les applications CMS les plus affectées par les compromis de sites Web, le type de familles de logiciels malveillants utilisés et des mises à jour sur l’état de la liste noire des sites Web. Il ne prend pas en compte les données relatives aux configurations des plugins WordPress.

Ce rapport est basé sur un échantillon représentatif du nombre total de sites Web sur lesquels le Sucuri RG a fourni des services d’intervention en cas d’incident. Au total, 34 371 sites Web infectés ont été analysés dans le présent rapport. Cet échantillon a fourni une représentation des sites Web infectés sur lesquels le groupe d’assainissement a travaillé au cours de l’année civile 2017.

Ça se passe ICI, le rapport est en téléchargement et en anglais

vel, porta. Curabitur venenatis sed libero vulputate, ante. ut consectetur