Centre d’apprentissage

Qu’est-ce qu’une porte dérobée ?

Une porte dérobée malveillante est un code qui permet un accès non autorisé et souvent sans restriction à un site compromis. Elles permettent aux attaquants d’accéder à tous les fichiers du compte d’hébergement. Les backdoors peuvent ressembler à du code php normal ou être obfusquées (intentionnellement obscurcies pour rendre le code ambigu) et cachées. Une porte dérobée peut être insérée dans un fichier valide sous la forme d’une courte ligne de code d’apparence plutôt innocente. Une porte dérobée peut aussi être un fichier autonome. L’accès à la porte dérobée permet à un attaquant de placer n’importe quel code malveillant sur le site. Les portes dérobées sont souvent trouvées en conjonction avec d’autres logiciels malveillants.

Déterminer si votre site est infecté

Les portes dérobées peuvent être difficiles à trouver car elles sont souvent du code obscurci. Généralement, s’il y a une porte dérobée, il y en a d’autres qui peuvent ou non avoir la même apparence. Parfois, les portes dérobées sont des scripts de maintenance non sécurisés laissés accidentellement après la maintenance autorisée du site.

Un propriétaire de site ignore souvent l’existence de portes dérobées sur le site, cependant, si d’autres logiciels malveillants sont trouvés sur le site, il est probable que de nombreux fichiers de portes dérobées ou d’injections de code existent également, permettant à un attaquant de s’introduire sur le site.

Démasquer et supprimer les portes dérobées

La suppression des portes dérobées nécessite une analyse du code du site. Les backdoors se trouvent généralement dans des fichiers php sur le serveur web. Elles peuvent être soit insérées dans vos fichiers de base, de plugin ou de thème, soit être un fichier autonome. Elles peuvent se trouver dans n’importe quel répertoire accessible au public sur votre serveur et facilement accessible par la personne qui l’a placée.

Pour supprimer la porte dérobée, créez d’abord une sauvegarde des fichiers du site et de la base de données. Il est utile d’examiner vos fichiers journaux d’accès http bruts, car l’utilisation de la porte dérobée se fait généralement par le biais d’une requête HTTP POST vers un fichier.

Un compte administratif compromis peut permettre à l’attaquant d’utiliser l’éditeur de thème principal pour ajouter une porte dérobée au fichier 404 d’un thème. De cette façon, chaque requête sur votre site qui génère un message d’erreur 404 sert une porte dérobée qui peut être utilisée par quiconque sait qu’elle est là.

La suppression de la porte dérobée nécessite de trouver le code qui permet un accès non autorisé et de supprimer ce code. Cela nécessite une compréhension du code qui fait fonctionner votre site.

Les backdoors de fichiers voyous

Voici quelques exemples de backdoors trouvés en tant que fichiers voyous, ou fichiers qui ne font pas partie du plugin de base, du thème ou du système de gestion de contenu. Ils ont des noms qui semblent innocents ou similaires à d’autres fichiers de base tels que xml.php, media.php, plugin.php, etc. et ils peuvent être placés n’importe où sur le site. Le code d’un fichier voyou pourrait commencer comme ceci :

$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43

Il est important de ne pas seulement rechercher les fichiers étrangers sur votre site, mais d’examiner chaque fichier.

Plugins et thèmes backdoors

Si un compte administratif est compromis, les attaquants utilisent souvent les capacités de téléchargement de plugins ou de thèmes d’un site pour ajouter des backdoors.

Si un plugin est ajouté avec des backdoors, il peut ou non apparaître sur votre page d’administration des plugins. Les fichiers de plugins malveillants sont souvent cachés de la vue et ne sont visibles dans le système de fichiers que par le biais de votre gestionnaire de fichiers ou FTP. Ils portent souvent des noms qui semblent utiles, tels que :

  • WordPress Support
  • Login Wall
  • WP zipp
  • WP-Base-SEO

Des plugins peuvent être installés qui ressemblent à des plugins normaux, nommés quelque chose comme Akismet3 avec certains fichiers Akismet valides plus anciens, mais avec du code de porte dérobée contenu dans les fichiers téléchargés.

Des fichiers de thème peuvent également être ajoutés contenant des backdoors. Le thème WordPress Sketch a été pendant un temps un thème populaire chargé de malwares téléchargés avec de nombreux fichiers backdoor contenus dans celui-ci. Le thème peut apparaître dans la page d’administration du thème, ou bien il peut manquer certains fichiers et être répertorié au bas de cette page comme un thème inactif parce qu’il lui manque certains fichiers.

Si vous avez des thèmes ou des plugins que vous ne reconnaissez pas, supprimez-les. Mais vous devrez également passer en revue le reste de vos fichiers. Souvent, une porte dérobée est un moyen d’en ajouter d’autres dans tout le site, notamment en modifiant les fichiers de base pour ajouter des fonctionnalités de porte dérobée en leur sein.

Insertions de portes dérobées dans les fichiers de base

Les fichiers de base de votre système de gestion de contenu peuvent avoir des portes dérobées insérées en leur sein. Elles peuvent être ajoutées au début du fichier, à la fin du fichier et, dans certains cas, intercalées dans le code valide du fichier de base lui-même.

Ce code, ou un code similaire, est souvent ajouté en haut d’une page valide.

if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}

Voici un autre exemple.

D’autres portes dérobées sont hautement obfusquées et peuvent commencer comme ceci.

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\

Souvent, il y aura des références à FilesMan quelque part dans le fichier de la porte dérobée.

$default_action = "FilesMan";

Parfois, une porte dérobée écrit spécifiquement du contenu malveillant dans un fichier spécifique, dans ce cas, elle redirige vers le fichier .htaccess.

Scripts de maintenance non sécurisés

Les scripts de maintenance sont parfois laissés derrière eux après une opération de maintenance. Ces scripts sont ensuite découverts par des attaquants et exploités. Un script de maintenance populaire est searchreplacedb2.php qui permet un accès illimité à la base de données du site.

Looking Beyond the Backdoor

Les portes dérobées sont le plus souvent utilisées comme un moyen de parvenir à une fin en conjonction avec d’autres pages malveillantes. Si vous avez des portes dérobées, vous avez très probablement d’autres logiciels malveillants sur votre site, comme des pages de spam, des liens de spam, des opérations de phishing ou des redirections malveillantes.

Quel que soit le type de porte dérobée que vous avez trouvé sur votre site, la grande question est : comment est-elle arrivée là ? Il peut y avoir d’autres types de logiciels malveillants ou de failles de sécurité sur votre site qui ont permis à un attaquant d’y accéder. Les attaquants placent souvent plusieurs portes dérobées, certaines similaires, d’autres différentes, c’est pourquoi un examen de l’ensemble du site est important.

Si, après avoir lu ce guide, vous ne savez pas comment supprimer les portes dérobées, si vous ne savez pas si vous les avez toutes supprimées ou si vous cherchez plus de réponses sur la façon dont le code a été placé sur votre site, faites-vous aider.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *