Supprimer une redirection malveillante

Si vous avez plusieurs sites, qu’ils tournent sous différents moteurs, auxquels vous ajoutez des extensions et que vous laissez l’ensemble tourner tranquillement, au bout d’un moment, vous aurez indubitablement une faille de sécurité quelque part dans vos sites. C’est ce qu’il m’est arrivé avec mon portail tournant sous Joomla.

Le code malicieux injecté via cette faille de sécurité (elle était dans le composant Ozogallery sous Joomla qui n’était pas à jour), va automatiquement lorsque GoogleBot visitera votre site, le rediriger vers un site qui contient des codes malveillants. Ainsi, ce sont des lignes de codes en base 64 qui sont injectés quelque part dans vos fichiers qui créeront cet environnement indésirable, et vous allez le voir franchement pénible à terme.
En effet, Google va rapidement s’apercevoir du problème, et classer votre domaine du site comme étant malveillant, même si vous n’y êtes pour rien. Dès lors votre site ne peut être visité par ceux qui ont comme navigateurs Firefox avec les options de protection activées, ou Chrome. Pire encore, une requête Google sur votre nom ou votre domaine, sera systématiquement orienté vers ce site malveillant.

Afin de trouver où se situent ces codes malicieux injectés dans vos fichiers, le plus simple est de télécharger en local tous vos fichiers distants, et les scanner par exemple avec un logiciel de traitement de fichiers (comme Directory Opus par exemple). On recherchera principalement, ce fût mon cas, le fragment de code eval(base64_decode dans tous les fichiers de votre site (à la racine, et dans les dossiers).
Mes trois principaux sites tournent sous Joomla donc, WordPress et B2evolution. Seuls les deux premiers ont été atteint par l’attaque. Dans Joomla le code s’était glissé dans la page index.php, et dans deux fichiers : includes/defines.php et includes/configuration.php. D’autres fichiers avaient été créés afin de renouveler le code malicieux si besoin : includes/post.php et includesimages/img.php . Vous trouverez d’autres conseils sur ce fil du forum Joomla.fr . Pour WordPress, un seul fichier était atteint : wp-config.php . Une fois ces fichiers nettoyés ou retirés, les problèmes ne sont pourtant par terminés.

En effet, Google va devoir examiner à nouveau vos sites. Pour cela vous devez le demander via l’interface dédiée aux webmestres (Google Webmasters Tools). Le réexamen peut prendre beaucoup de temps. Il est probable que vous deviez même attendre près de 90 jours. Cependant il ne faudra le faire que si vous êtes certains d’avoir tout nettoyé correctement. Outre la suppression des lignes indésirables de code dans vos fichiers, il vous faudra modifier vos mots de passe d’administration des sites, ainsi que celui du FTP. Vérifier également tous vos fichiers .htaccess, qu’il n’y ait pas des lignes de redirections non sollicitées.

Une fois la faille de sécurité exploitée, vous constatez que vous avez de quoi passer de longues soirées d’hiver à réparer les dégâts. Le pire tout de même est que votre nom de domaine voire votre nom (ce qui est mon cas) sont corrompus sur les pages de Google pour un bout de temps, le temps au moins que le géant réexamine vos sites, ce qu’il fait heureusement systématiquement.
La morale de cette histoire, est qu’il vaut mieux avoir des sites qui tournent avec peu d’extensions incontrôlées, de les mettre systématiquement à jour, de ne rien laisser traîner sur votre serveur (fichiers obsolètes, anciens sites arrêtés, vieux forums abandonnés – ce fut mon cas), et de modifier assez régulièrement vos mots de passe. Ces derniers devraient être alpha-numériques, et avoir une chaîne de 12 caractères au minimum. Enfin il semblerait qu’il soit bon également d’avoir un site par serveur – et donc un domaine par serveur, ou bien le compartimenter convenablement (si c’est chose possible ce que j’ignore) afin qu’une faille d’un CMS ne transpire pas sur les autres, ce qui est arrivé dans mon cas.
Le réseau est une aventure humaine !

2 commentaires On Supprimer une redirection malveillante

  • Une petite astuce pour trouver les fichiers impactés :

    – Regardez les dates de modifications fichiers / répertoires

    En tant que webmaster vous êtes censé savoir quand une modification a été effectuée sur les fichiers et donc vous arriverez à localiser très rapidement les fichiers impactés.

Laisser une réponse:

Votre adresse mail ne sera pas publiée.

Notifiez-moi des commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Pied du site

Barre latérale coulissante