10-1 = Compromission de l'un de mes sites hébergés

J'ai eu la surprise de recevoir ce matin un mail de l'un de mes amis m'informant que la page d'accueil de mes sites WEB comportait un code malveillant. Ma première réaction fût de considérer qu'il s'agissait d'un faux positif de son anti-virus, mon site WEB étant totalement statique, généré à la main et n'offrant aucun point d'entrée hors un formulaire bien verrouillé.



Par acquis de conscience, j'ai chargé la page d'accueil incriminée sans que la protection MSE ne se déclenche. La lecture du code source de la page d'accueil m'a cependant immédiatement donné une sueur froide. En fin de page, après la balise HTML fermante, un code était présent dont la teneur était parfaitement dissimulée. Celà n'augurait rien de bon en cette nouvelle année !



Ce code s'exécute au chargement de la page et y insère le script suivant, lequel référence un site inactif au moment de l'analyse.



Le contrôle du contenu de la page d'accueil de mon site de secours, et de la copie de travail que je conserve sur un disque amovible, démontre que seul le fichier hébergé chez le fournisseur d'accès est infecté. Une connexion sur le site FTP de mise à jour du site me permet de vérifier que le fichier incriminé a bien été modifié sur place, et à une date ne correspondant à aucune mise à jour de ma part.

J'indique en effet à la fin de chaque page, la date de dernière mise à jour, et conserve un historique locale des opérations effectuées. Toutes les autres pages du site ont été vérifiées sans aucune autre trace de modification.

J'ai tout d'abord pensé que l'identifiant et le mot de passe permettant l'administration de ce site avaient été dérobés. Si tel avait été le cas cependant, l'auteur de la modification ne se serait pas contenté de modifier une page quand il pouvait parfaitement dissimuler un kit de phishing ou tout autre malware sur mon site.

J'en arrive donc à penser que le fichier de la page d'accueil a probablement été modifié par un autre biais, l'exploitation d'une vulnérabilité dans l'un des outils d'administration de l'hébergeur par exemple, voire même à la suite de la compromission du serveur d'hébergement.

Maintenant que faire ?

En toute logique, contacter l'équipe chargée de la gestion des incidents de l'hébergeur - encore fait-il que le point de contact soit référencé et réactif - avec toutes les informations collectées pour aider à tracer l'origine de cette modification, et peut-être à la découverte d'un problème allant au-delà de la simple modification non autorisé d'une page d'accueil. Puis rétablir une page d'accueil intègre. Et si besoin escalader le problème au niveau supérieur ?