Notre site associatif est victime de l’intrusion d’un fichier index.php qui supprime
l’index. htm pour créer index.bak.bak ce qui rend la navigation impossible.
Que pouvons nous faire?
Merci pour votre réponse.
Il y a potentiellement beaucoup de choses à faire. Tout d’abord :
- Est-ce vous qui gérez le serveur ou bien faites-vous appel à un serveur externe avec accès ftp ?
- Avez-vous une sauvegarde disponible de votre site ?
- Avez-vous réussi à identifier l’origine de l’intrusion : permissions trop grandes, failles logicielles ?
- Utilisez-vous un SGC comme Wordpress ou Drupal ?
Dans ce type d’infection, le mieux à faire est de commencer par vérifier les permissions sur les dossiers et fichiers et de les corriger si nécessaire (si vous ne savez pas comment faire, il existe des tas de tutos sur le net pour cela). Ensuite il vaut mieux réinstaller entièrement le site à partir d’une sauvegarde précédente à l’infection en modifiant au passage tous les accès identifiants/mots de passe (ftp compris). S’il n’y a pas de sauvegarde accessible, il va falloir désinfecter l’ensemble à la main en commençant par rendre votre site inaccessible depuis l’extérieur (par respect pour les internautes). Certains utilitaires comme Virus Total font gagner du temps mais ils ne sont pas nécessairement infaillibles.
Nb : certaines infections ont en réalité lieu plusieurs semaines ou plusieurs mois avant la modification effective des fichiers en masse. C’est pourquoi il faut bien modifier tous les id/mdp et prendre également le temps de contrôler l’intégrité de la sauvegarde avant de s’en servir.
Une fois le nettoyage fait, il sera bon de renforcer la sécurité du site en ajoutant des solutions logicielles comme fail2ban par exemple.
Par la suite, il pourra être judicieux d’observer attentivement les logs de connexions au site sur plusieurs semaines/mois. Cela permet de mesurer l’ampleur des attaques et de vérifier si les systèmes de protection mis en place remplissent leur rôle.
1 J'aime
bonsoir
merci pour votre réponse très détaillée.
pour répondre à vos questions
Nous faisons appel à un serveur externe en utilisant filezilla
Nous utilisons bluefish pour éditer nos pages html.
Nous allons vérifier les permissions des fichiers
nous n’avons pas de sauvegarde sur le serveur.
Faut il désinstaller bluefish et le réinstaller
le changement des mdp ftp ne change rien au problème.
Nous ne sommes pas des informaticiens confirmés mais seulement des bénévoles pour la sauvegarde du patrimoine local.
Le changement des mdp et id évitent d’être à nouveau piraté. La plupart des logiciels pirates récupèrent les id et mdp de connexion. Cependant, ça ne va pas changer le contenu des fichiers qui devront être nettoyés manuellement AVANT de modifier les id/mdp (désolé de ne pas avoir été plus clair la première fois).
Je suppose que vous utilisez Bluefish en local avant d’envoyer les fichiers via Filezilla. Dans ce cas le logiciel n’a rien à voir avec votre infection.
Si votre site n’est composé que de fichiers html reliés entre eux par des liens hypertexte (je suppose que vous connaissez ce langage si vous me dites que vous écrivez vos pages html avec Bluefish), il vous sera facile de nettoyer ces fichiers (même si ça peut être long) en retirant tout ce qui est étranger au code html, en supprimant les fichiers intrus et en remettant index.htm. Encore une fois, des utilitaires existent sur internet, si vous ne savez comment faire.
Seulement après être sûr qu’il n’y a plus de traces d’infections, vous pourrez modifier vos mdp.
1 J'aime
Comparez tous les fichiers : ceux distants doivent être identique à ceux locaux
bonsoir
merci bcp pour vos conseils
je vais les appliquer