Victime du malware rostore salesonlinecheap2023 sur WordPress ?

Comment le malware rostore salesonlinecheap2023  infecte les sites WordPress

Généralement, ce type de malware s’infiltre dans le site via des failles de sécurité ou des plugins obsolètes. Une fois à l’intérieur du système, il commence à injecter du code malveillant dans les fichiers core de WordPress ou dans la base de données, ce qui lui permet de prendre le contrôle partiel ou total du site. Dans certains cas, il peut également créer un utilisateur admin fictif pour conserver un accès permanent.

Comment le malware rostore salesonlinecheap2023 redirige vos visiteurs ?

L’aspect le plus important du malware rostore salesonlinecheap2023 est son mécanisme de redirection en fonction de la source du trafic. Pour le trafic direct, il se peut que le malware ne fasse rien ou redirige vers une page légitime du site. Cela donne l’illusion que tout fonctionne normalement, ce qui peut retarder la détection du malware.

En revanche, pour le trafic organique provenant de moteurs de recherche comme Google, le malware active son mécanisme de redirection. Il envoie les visiteurs vers des sites web de phishing ou des pages contenant des malwares supplémentaires, affectant ainsi le référencement et la réputation du site.

Ce n’est pas tout, les malwares de redirections peuvent déclencher des pénalités Google. Si vous tardez à désinfecter votre site, vous pourriez observer quelques pertes de positions sur vos mots clés, dans les résultats de recherche Google.

Code de redirection PHP utilisé par le malware salesonlinecheap2023:

// Récupérer la valeur du referer
$referer = $_SERVER['HTTP_REFERER'];

// Vérifier si le trafic vient de Google
if (strpos($referer, "google.com") !== false) {
    // Redirection pour les utilisateurs venant de Google
    header("Location: https://sitephishing[.]com");
    exit();
} else {
    // Redirection pour le trafic direct ou venant d'autres sources
    header("Location: https://monsite[.]com");
    exit();
}

Ce script PHP utilise la superglobale $_SERVER['HTTP_REFERER'] pour déterminer d’où vient le visiteur. Il vérifie ensuite si « google.com » est présent dans cette valeur. Si c’est le cas, il redirige vers une page spécifique destinée aux utilisateurs venant de Google. Sinon, il redirige vers une autre page, qui pourrait être la page d’accueil ou toute autre page que vous choisissez.

Notez que la vérification du HTTP_REFERER n’est pas infaillible. Des utilisateurs ou des bots pourraient masquer ou modifier cette information. De plus, certains navigateurs ou extensions de navigateurs peuvent restreindre le partage de cette information pour des raisons de confidentialité. Il s’agit donc d’une technique de base qui ne remplace pas une solution de sécurité robuste.

Code de redirection javascript qui peut aussi être utilisé par ce Malware :

var referrer = document.referrer;
  if (referrer.indexOf("google.com") !== -1) {
    window.location.href = "https://sitephishing[.]com";
  } else {
    window.location.href = "https://monsite[.]com";
  }

Utilisation des règles .htaccess

Si votre serveur tourne sur Apache, vous pouvez également utiliser le fichier .htaccess pour effectuer des redirections basées sur le champ Referer du header HTTP.

RewriteEngine On
RewriteCond %{HTTP_REFERER} google\.com [NC]
RewriteRule .* https://exemple-page-pour-google.com [R,L]

Utilisation d’un proxy inverse

Si vous utilisez un proxy inverse comme Nginx, vous pouvez configurer des règles de redirection au niveau du serveur. Par exemple, voici comment cela pourrait être fait en utilisant des expressions régulières et des blocs if :

server {
  location / {
    if ($http_referer ~* "google.com") {
      rewrite ^ https://exemple-page-pour-google.com permanent;
    }
  }
}

Le malware salesonlinecheap2023 redirige les visiteurs en filtrant les adresses IP

En effet, il est possible que vous ou vos visiteurs ne soient pas forcément redirigé, L’explication est simple, le malware utilise un système de filtrage d’dresse IP permettant de rester plus ou moins discret en ne redirigeant qu’une seule fois une personne.

Exemple de code permettant de filtrer les adresses IP en PHP :

// Liste des adresses IP à ne pas rediriger
$noRedirectIPs = ["192.168.1.1", "192.168.1.2"];

// Récupération de l'adresse IP du client
$clientIP = $_SERVER["REMOTE_ADDR"];

// Vérification si l'adresse IP du client est dans la liste des adresses à ne pas rediriger
if (!in_array($clientIP, $noRedirectIPs)) {
    // Redirection vers un autre site
    header("Location: https://www.example.com");
    exit;
}

Ce code utilise le tableau $noRedirectIPs pour stocker les adresses IP qui ne doivent pas être redirigées. Ensuite, il utilise la superglobale $_SERVER["REMOTE_ADDR"] pour obtenir l’adresse IP du client. Le code vérifie si cette adresse IP est dans la liste $noRedirectIPs. Si elle ne l’est pas, une redirection HTTP est effectuée.

Méthodes de dissimulation du malware de redirection

Dans le monde sombre des malwares, la dissimulation est un art. Les cybercriminels emploient des méthodes de plus en plus sophistiquées pour échapper à la détection. Voici quelques-unes des techniques courantes que ces logiciels malveillants utilisent pour rester cachés.

Utilisation de l’obfuscation

L’une des stratégies les plus courantes consiste à obfusquer le code, rendant ainsi son analyse plus difficile pour les experts en sécurité. L’obfuscation peut se faire via plusieurs techniques, comme l’utilisation de variables et de fonctions nommées de manière trompeuse, ou l’encodage en Base64.

Exemple de code Base64 :

eval(base64_decode('aWYgKCRfU0VSVkVSWydSRU1PVEVfQUREUiddID09ICcxOTIuMTY4LjEuMicpIHsgLy8gY29kZSBtYWxpY2ll
dX0='));

Note : Ce code est un exemple fictif et ne fait rien de malveillant. Il démontre simplement comment un code peut être encodé en Base64 pour échapper à la détection facile.

Injection dans des fichiers légitimes

Une autre tactique consiste à injecter le code malveillant dans des fichiers légitimes du système, rendant ainsi difficile sa localisation sans une analyse approfondie. Cela peut inclure des fichiers .htaccess, des fichiers de configuration WordPress comme wp-config.php, ou même dans des thèmes et des plugins.

Utilisation de cron jobs

Certains malwares configurent des tâches planifiées (cron jobs) pour se réactiver automatiquement à des intervalles réguliers, même après une tentative de suppression.

Masquerade IP

Comme vous l’avez mentionné, des malwares de redirection utilisent souvent un filtrage IP pour éviter de rediriger plusieurs fois la même personne, ce qui rend difficile leur détection.

Exploitation de failles connues

Les malwares tirent souvent parti de failles connues dans les plugins ou thèmes WordPress, ce qui leur permet de s’infiltrer sans éveiller de soupçons. Ils peuvent également utiliser des attaques de type « zero-day » contre des vulnérabilités inconnues.

Emprunt de processus légitimes

Dans certains cas, les malwares peuvent même emprunter des processus légitimes pour se masquer, donnant l’illusion que le système fonctionne normalement.

Utilisation de domaines expirés ou de redirection

L’utilisation de domaines expirés ou de redirection ajoute une couche de complexité supplémentaire pour ceux qui tentent de tracer la source du problème. Certaines fois, le script malveillant principal ne se trouve pas sur votre serveur mais sur un autre site victime du même pirate. En étant piraté, vous pouvez donc aussi devenir acteur, ce qui peut poser problème en cas de dépôt de plainte par exemple. Vous seriez personnellement responsable d’attaque sur des systèmes informatisés.

Utilisation d’un Web Application Firewall (WAF) pour se protéger des attaques de malwares

Pour faire le lien avec les malwares visant WordPress que nous avons abordés jusqu’ici, il faut savoir que les WAF représentent une première ligne de défense contre ces attaques. Ils jouent un rôle important en filtrant et en contrôlant le trafic entre le serveur web et les clients, ce qui peut être particulièrement utile pour atténuer les effets de malwares comme celui que nous avons examiné.

Précisions sur le mécanisme des règles WAF

Les Web Application Firewalls sont équipés de moteurs de règles d’une flexibilité impressionnante, offrant un large éventail de personnalisation. Leur sophistication permet l’utilisation de constructions telles que les expressions régulières, aussi connues sous le nom de regex, pour filtrer des modèles spécifiques au sein des requêtes HTTP. De plus, l’usage d’opérateurs logiques et de déclarations conditionnelles apporte une dimension supplémentaire en concevant des sets de règles multidimensionnels capables d’identifier et de répondre à une variété de menaces cybernétiques.

Fonctionnalités avancées : Rate Limiting et géo-IP filtering

Dans les Web Firewalls, deux mécanismes de filtrage spécifiques jouent un rôle crucial dans la régulation du trafic : le Rate Limiting et le géo-IP filtering. Le Rate Limiting s’appuie sur des algorithmes de gestion de quota, définissant un seuil de requêtes HTTP admissibles provenant d’une adresse IP unique durant un intervalle temporel donné. Ce processus fait usage d’algorithmes de « Token Bucket » ou de « Leaky Bucket » pour contrôler efficacement la cadence des requêtes et atténuer des attaques telles que les Distributed Denial of Service (DDoS) ou les tentatives de brute-force.

Quant au géo-IP filtering, il implémente une série de règles basées sur des tables de correspondance géolocalisées. Ces tables sont souvent actualisées en temps réel et permettent de bloquer ou d’autoriser l’accès au serveur web en fonction de l’origine géographique des requêtes IP. Ainsi, des règles conditionnelles peuvent être appliquées, utilisant des opérateurs de comparaison et des déclarations logiques pour offrir un niveau de sécurité granulaire en fonction de la provenance géographique.

Considérations de performance et de fiabilité

Il faut être conscient que chaque WAF a ses propres caractéristiques en termes de latence et d’overhead computationnel. Certains peuvent avoir des taux de faux positifs plus élevés, ce qui pourrait conduire au blocage de trafic légitime. Par conséquent, un ajustement fin des règles et une surveillance continue sont nécessaires pour garantir une protection optimale.

Nos avis Google

Sylvain Paolini

17/08/2023

Je recommande vivement leclerc-web. Un vrai professionnel d'une grande expertise, à l'écoute, très rapide (problème de hack sur un site réglé en 24h), et qui vous donne le détail des actions qu'il a mené. top!

Annick Depret

17/08/2023

M. Leclerc a géré avec un grand professionnalisme le piratage de notre site et sa sécurisation ... la résolution a été très rapide avec un suivi sur le long terme au top ! N'hésitez pas à faire appel à lui, il connaît son domaine !!! Merci encore 🙂

Antoine GODDYN

13/08/2023

Excellent travail de Jérémy. Très professionnel, très réactif et très compétent. Je recommande.

Julien T

04/07/2023

Service au top. Mr Leclerc est un vrai professionnel. Vous pouvez lui faire confiance à 100% pour remettre votre site internet en marche (Victime d'une Cloaking Attack, j'ai perdu 2 semaines de ventes. Après l'intervention de Mr, les ventes ont repris directement. Merci encore !

Julien T

04/07/2023

Service au top. Mr Leclerc est un vrai professionnel. Vous pouvez lui faire confiance à 100% pour remettre votre site internet en marche (Victime d'une Cloaking Attack, j'ai perdu 2 semaines de ventes. Après l'intervention de Mr, les ventes ont repris directement. Merci encore !

marine calderon

28/06/2023

Rapide et très efficace ! Mes sites sont débarrassés des virus !! Merci Jérémy

marine calderon

28/06/2023

Rapide et très efficace ! Mes sites sont débarrassés des virus !! Merci Jérémy

JohnWayne wayne

24/06/2023

Super Job! Missionné pour un déclocking son intervention a été très efficace et ses conseils sont précieux, Je recommande !

JohnWayne wayne

24/06/2023

Super Job! Missionné pour un déclocking son intervention a été très efficace et ses conseils sont précieux, Je recommande !

Jérôme Boijoux

15/06/2023

Après une attaque de notre site internet, Mr Leclerc a parfaitement géré avec tous les interlocuteurs (hébergeur et autres) sa remise en route avec en plus une sécurisation renforcée de notre site internet. Propre et efficace.

Jérôme Boijoux

15/06/2023

Après une attaque de notre site internet, Mr Leclerc a parfaitement géré avec tous les interlocuteurs (hébergeur et autres) sa remise en route avec en plus une sécurisation renforcée de notre site internet. Propre et efficace.

Jérôme Sedyn

02/05/2023

Service impeccable. super efficace et pafaitement compétent et à jour pour la désinfection de mon site web

Jérôme Sedyn

02/05/2023

Service impeccable. super efficace et pafaitement compétent et à jour pour la désinfection de mon site web

Clément Beauvois

25/04/2023

Excellent, je recommande mille fois !! Gentillesse, professionnalisme et rapidité sont au rendez vous ! Merci Jeremy

Clément Beauvois

25/04/2023

Excellent, je recommande mille fois !! Gentillesse, professionnalisme et rapidité sont au rendez vous ! Merci Jeremy

Cordier Clément

13/04/2023

Suite à un piratage avec des mots-clés japonais sur mon site ainsi que ceux de mes clients, j'ai rapidement fait appel à Jérémy qui m'a immédiatement rassuré grâce à ces profondes connaissances en web. Il est rapidement intervenu et aujourd'hui je me sens plus en sécurité. Étant Webdesigner, je n'hésiterai pas à lui faire appel pour sécuriser le site de mes clients. Merci pour tout ! 🙂

Cordier Clément

13/04/2023

Suite à un piratage avec des mots-clés japonais sur mon site ainsi que ceux de mes clients, j'ai rapidement fait appel à Jérémy qui m'a immédiatement rassuré grâce à ces profondes connaissances en web. Il est rapidement intervenu et aujourd'hui je me sens plus en sécurité. Étant Webdesigner, je n'hésiterai pas à lui faire appel pour sécuriser le site de mes clients. Merci pour tout ! 🙂

Charger plus

Évaluation Google : 5 sur 5, Basée sur 43 avis

Questions courantes la réparation de malware WordPress