Techniques pour trouver des Backdoor

Techniques pour trouver des Backdoor

Trouver un Backdoor sur site Web n’est pas une tâche facile parce que sa fonction principale est de se garder caché au yeux du propriétaire du site Web.

Quelles est alors la technique pour identifier un Backdoor ?

Recoupement de Whitelist & Blacklist

Liste blanche

Nous savons à quoi ressemblent les bons fichiers. L’un des moyens d’identifier un fichier légitime est sa somme de contrôle : une signature numérique du fichier qui peut être comparée aux bons fichiers connus.

Par exemple, nous pouvons comparer le site Web individuel aux fichiers de base officiels des principaux systèmes de gestion de contenu (CMS), comme WordPress, Joomla, Magento, Drupal, Prestashop et autres. Nous avons également la somme de contrôle pour la plupart des plugins, modules, extensions et thèmes.

En utilisant cette technique de whitelisting, nous pouvons dire immédiatement si l’un des fichiers de base a été modifié ou si un nouveau fichier a été ajouté. De cette façon, nous pouvons ignorer en toute sécurité les bons dossiers, ce qui élimine une partie importante du travail.

Liste noire

Les grands organismes de sécurité (Sucuri Cloudflare, Kaspersky…) maintiennent une liste évolutive avec des milliers de portes dérobées et leurs variations.

Le blacklisting de ces signatures malveillantes les empêche de s’exécuter sur les sites Web des clients et s’assure qu’elles sont rapidement détectées.

Vérifications des anomalies

Exemple de la procédure SUCURI

“Lorsqu’un fichier n’est pas dans la liste blanche des fichiers de base et également dans la liste noire des signatures de fichiers malveillants, nous effectuons nos vérifications d’anomalies.

Nous analysons toutes les fonctions/variables et les inspectons manuellement pour voir s’il s’agit de portes dérobées. De là, nous les signalons pour enquête si nous ne pouvons pas vérifier que le dossier est bon. Nos analystes de sécurité professionnels peuvent enquêter davantage dans le cas d’une nouvelle porte dérobée ou d’une porte dérobée très complexe.

Lorsque nous trouvons une nouvelle porte dérobée, nous mettons à jour nos listes noires et nos moteurs de corrélation pour les attraper à l’avenir. Si après avoir analysé les fonctions et les variables, nous découvrons qu’elles ne sont pas nuisibles, nous les ajoutons à notre liste blanche.”

Prévention

Vous pouvez prendre certaines mesures pour protéger votre site Web de l’infection initiale :

  • Gardez tous vos logiciels à jour.
  • Gardez l’œil ouvert pour tout type de fichiers étranges sur votre serveur, en particulier les fichiers contenant des fautes de frappe.
  • Utilisez des mots de passe forts et différents.
  • Utilisez un pare-feu d’application de site Web qui agit comme un filtre virtuel invisible pour les pirates et les attaques potentielles.
  • Si vous utilisez WordPress, installez le scanner Sucuri gratuit (ou un scanner payant type WORDFENCE, payant mais qui étudie plus de cas de figures) pour surveiller et auditer votre site.

Conseils pour nettoyer un site Web compromis

Si vous essayez de nettoyer un site compromis par vous-même, nous avons quelques recommandations.

Tout d’abord, remplacez tous les fichiers que vous pouvez (fichiers de base, plugins, etc.) par des fichiers sains connus. Ensuite, analysez manuellement les fichiers personnalisés qui ne peuvent pas être écrasés pour vous assurer que votre site Web est propre.

Il est essentiel que toutes les portes dérobées soient fermées pour nettoyer avec succès un piratage, sinon votre site sera réinfecté rapidement.

Tiré de l’article original paru sur SUCURI : https://blog.sucuri.net/2018/07/ask-sucuri-how-do-you-find-website-backdoors.html

elementum id, Lorem ultricies luctus nunc eleifend ut vulputate, consectetur neque. suscipit