Site WordPress piraté avec redirections malveillantes
Si vous remarquez des redirections en vous rendant sur votre site web cela signifie qu’un pirate a injecté du code malveillant dans vos fichiers serveur via une faille d’injection.
Les urls de redirection malveillantes les plus connues sont :
- – newcaptchahere
- – freevar.com
- – steadycaptcha
- – cartoonmines
- – cleverblackspaces
- – shbzek
- – collectfasttracks
- – winworker
- – btlawfirm
- – procaptchahub
- – qzgxqt
- – emberenchanter
- – faboatso.live
- – marefpam.live
- – re-captha-version-2-9.top
- – pacbeerspa.live
- – suchoralcow.live
Si vous observez ce type de redirections, il n’y a plus de doute, une faille de vulnérabilité a bien été exploitée sur votre site WordPress. Désormais, la priorité est de détecter et de combler la faille d’injection qui a permis cela. Rétablir une sauvegarde immédiatement, pourrait nuire à l’analyse de vulnérabilité, de plus, cela ne comblerait pas la faille et réparerait votre site momentanément.
Dans 98% cas, le piratage refait surface quelques heures voir quelques jours suite à la restauration d’une sauvegarde, cela est dû à du code caché dans les fichiers qui ne sont pas détectés comme malveillant du fait que le code n’est tout simplement pas malveillant en soit et qu’il se copie de manière récursive dans dans vos différents répertoires serveur.
Exemple de redirections que vous pourriez observer
Exemple de code malveillant suite à un piratage par redirection
Code obfusqué malveillant dans vos fichiers WordPress
Il est possible que vous trouviez des fichiers présents sur votre serveur FTP contenant du code obfusqué qui ressemble à ceci :
L’injection de code obfusqué est une méthode couramment utilisée par les pirates pour cacher leurs intentions malveillantes et rendre la détection, la lecture ainsi que la compréhension du code injecté plus difficile. On retrouve le même type de code les piratages par mots clés Japonais.
Il est important de savoir que lorsque vous trouvez un fichier infecté, très souvent, le code trouvé est dupliqué dans la majorité de vos fichiers, c’est à dire plusieurs milliers voir dizaines de milliers de fichiers, ce qui rend le nettoyage impossible dans le cas ou il serait fait manuellement.
La tâche est rude mais ne doit pas être prise à a légère, ce n’est pas parce que vous ne voyez plus de redirections, que Google ne la voit plus non plus, le piège est la, si vous ne nettoyez / sécurisez pas votre site de façon à le rendre clean à 100%, le risque d’une pénalité provenant de Google est hautement élevée, la conséquence pourrait être de voir votre site blacklisté et donc de le voir disparaître des résultats de recherche pour une durée comprise en 6 mois / 1 an car il sera jugé comme dangereux pour les visiteurs.
Pourquoi les hackers font des redirections sur les sites ?
Les hackers utilisent des redirections pour les sites Web pour plusieurs raisons. Tout d’abord, ils peuvent le faire pour gagner de l’argent en dirigeant les visiteurs vers des sites Web malveillants qui affichent des publicités.
Les différentes raisons de votre piratage par redirection
- Monétisation du trafic : Si vos visiteurs sont redirigés sur des sites de publicité, des sites de phishing ou des sites pour adultes, cela augmente les chances pour le pirate, de générer plus de revenus via les clics sur les publicités, les installations de logiciels indésirables ou les abonnements à des services payants.
- Phishing et vol d’identifiants : Les redirections peuvent parfois rediriger le trafic de votre site vers des sites de phishing qui imitent des sites légitimes (comme des sites de banque, des réseaux sociaux ou des sites de commerce électronique) pour tromper les utilisateurs et les inciter à fournir leurs identifiants de connexion, leurs informations financières ou d’autres données sensibles.
- Propagation de malwares : La destination des redirection peut aussi cibler des sites qui hébergent des logiciels malveillants, tels que des virus, des ransomwares ou des logiciels espions, dans le but d’infecter leurs ordinateurs et d’obtenir un contrôle à distance, de voler des informations ou de causer d’autres dommages.
- Amélioration du référencement (SEO) de sites malveillants : En redirigeant le trafic d’un site légitime vers un site malveillant, les hackers peuvent augmenter artificiellement la popularité et le classement de ce dernier dans les moteurs de recherche, ce qui peut attirer encore plus de victimes.
- Nuisance et vandalisme : Les hacks par redirections peuvent aussi être fait dans le but de nuire tout simplement. Pour dégrader l’expérience utilisateur et nuire à la réputation de votre site web.
Quelles sont les risques d’un piratage par redirection d’url ?
Les risques sont multiples, dans beaucoup de cas, l’injection de code génère des erreurs PHP et provoque des erreurs 500. Ces erreurs 500 nuisent gravement à l’expérience utilisateur, de plus, si Google Bot visite votre site pendant qu’il est en panne, vous risquez de perdre un grand nombre de positions dans les résultats de recherche Google.
Perte de trafic
Comme évoqué ci-dessus, les redirections malveillantes peuvent entraîner une baisse significative du trafic de votre site. Cette perte de trafic peut avoir un impact négatif sur les revenus, surtout si votre site dépend des revenus publicitaires ou des ventes en ligne.
Réputation endommagée
Si un message affiche “Site Dangereux” ou “Site non sécurisé”, vos visiteurs peuvent perdre confiance, cela peut également dissuader les nouveaux visiteurs de revenir et nuire à la fidélisation des clients existants.
Sanctions des moteurs de recherche
Les moteurs de recherche, comme Google, peuvent détecter les redirections malveillantes et pénaliser votre site en le faisant descendre dans les classements de recherche. Dans certains cas, ils peuvent même afficher un avertissement aux utilisateurs lorsqu’ils tentent de visiter votre site, ce qui peut entraîner une perte supplémentaire de trafic.
Exemple d’avertissement Google suite à un piratage par redirection
Accès non autorisé aux données
Un site web piraté peut donner aux cybercriminels un accès non autorisé à vos fichiers et à votre base de données, ce qui peut entraîner la compromission de données sensibles, telles que les informations client, les transactions financières ou les données d’authentification.
Peut-on retrouver l’auteur du piratage par redirection d’url ?
Les pirates informatiques ont souvent recours à des outils pour masquer leur adresse IP comme les VPN ou proxys, mais il est possible de les identifier en analysant leurs requêtes. En analysant les logs du serveur, il est donc possible de trouver les traces des pirates informatiques et de les bloquer.
Comment consulter les logs de son serveur ?
Sur un serveur Linux, les journaux système sont des fichiers renfermant des informations relatives au serveur et à son fonctionnement. Habituellement, ces fichiers sont situés dans le répertoire /var/log. Plusieurs types de journaux existent, chacun ayant un but précis. Par exemple, le fichier journal Apache renseigne sur les activités du serveur Web, tandis que le fichier journal MySQL fournit des informations concernant les opérations de la base de données.
Pour consulter un fichier journal, il suffit de l’ouvrir avec un éditeur de texte tel que Nano ou Gedit. Néanmoins, il est important de noter que ces fichiers peuvent être volumineux et nécessiter un certain temps pour être chargés. Si vous souhaitez uniquement visualiser les entrées les plus récentes, vous pouvez utiliser la commande “tail” afin d’afficher les dernières lignes d’un fichier journal. Par exemple, pour voir les dix dernières entrées du fichier journal d’Apache, il vous faudra taper « tail /var/log/apache2/error.log ».
Par défaut, la commande “tail” ne montrera qu’un nombre limité de données. Toutefois, vous avez la possibilité d’utiliser l’option -n pour déterminer le nombre de lignes que vous désirez afficher. Par exemple, en tapant ‘tail -n 20 /var/log/apache2/error.log’, vous pourrez visualiser les 20 dernières lignes du fichier journal Apache.
Exemple de requêtes suite à un piratage par redirection
[2023-04-23 14:23:11] [error] [client 192.168.1.105] File does not exist: /var/www/html/wp-login.php
[2023-04-23 14:24:14] [error] [client 192.168.1.105] File does not exist: /var/www/html/xmlrpc.php
[2023-04-23 14:24:21] [error] [client 192.168.1.105] client denied by server configuration: /var/www/html/.htaccess
[2023-04-23 14:25:32] [error] [client 192.168.1.105] ModSecurity: Access denied with code 403 (phase 2). Match of "rx (?:^(?:application\\\\/x-www-form-urlencoded(?:;(?:\\\\s?charset\\\\s?=\\\\s?[\\\\w\\\\d\\\\-]{1,18})?)??$|multipart/form-data;)" against "REQUEST_HEADERS:Content-Type" required. [file "/etc/modsecurity/modsecurity.conf"] [line "123"] [id "960010"] [msg "Request content type is not allowed by policy"] [severity "WARNING"] [tag "POLICY/ENCODING_NOT_ALLOWED"] [hostname "www.example.com"] [uri "/upload.php"] [unique_id "YPjNh38AAQEAAAuPcdAAAAAA"]
[2023-04-23 14:26:43] [error] [client 192.168.1.105] ModSecurity: Access denied with code 404 (phase 2). Pattern match "(?:union(?:\\\\s*?\\\\(\\\\s*?select|all|distinct)?|select\\\\s*?\\\\w{1,10}\\\\s*?from)" at ARGS:query. [file "/etc/modsecurity/modsecurity.conf"] [line "78"] [id "942130"] [msg "SQL Injection Attack"] [data "Matched Data: union select found within ARGS:query: union select user, password from users"] [severity "CRITICAL"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "PCI/6.5.2"] [hostname "www.example.com"] [uri "/search.php"] [unique_id "YPjNh38AAQEAAAuPcdAAAAAB"]
Cet exemple de logs montre plusieurs tentatives d’accès à des fichiers sensibles ou inexistants (wp-login.php, xmlrpc.php et .htaccess) ainsi que des tentatives d’injection SQL et d’envoi de fichiers non autorisés à partir de l’adresse IP 192.168.1.105. Ces signaux pourraient indiquer qu’un pirate tente d’exploiter des vulnérabilités du site web hébergé sur le serveur Apache.