Victime du malware rostore salesonlinecheap2023 sur WordPress ?

malware rostore salesonlinechap2023 wordpress
5/5 - (3 votes)

Table des Matières

Un des malwares de redirection les plus répandus sur WordPress

 

Le malware rostore salesonlinecheap2023 est un virus qui cible les sites web fonctionnant sous WordPress de manière générale. Ce qui le rend particulièrement redoutable, c’est son aptitude à rediriger les visiteurs vers différentes destinations en fonction de leur provenance. Cette caractéristique le distingue de nombreux autres malwares.

La problématique ne se limite pas à une simple identification, elle s’étend également à la mise en place de mesures préventives et correctives. L’objectif de cet article est d’éliminer toute ambiguïté entourant ce malware. Pour y parvenir, nous explorerons ses multiples dimensions, son mode opératoire, et mettrons en lumière les tactiques de défense efficaces pour neutraliser sa menace.

rocket

Vous avez un site à désinfecter ou à sécuriser ?

    Comment le malware rostore salesonlinecheap2023  infecte les sites WordPress

     

    Généralement, ce type de malware s’infiltre dans le site via des failles de sécurité ou des plugins obsolètes. Une fois à l’intérieur du système, il commence à injecter du code malveillant dans les fichiers core de WordPress ou dans la base de données, ce qui lui permet de prendre le contrôle partiel ou total du site. Dans certains cas, il peut également créer un utilisateur admin fictif pour conserver un accès permanent.

     

     

    Comment le malware rostore salesonlinecheap2023 redirige vos visiteurs ?

     

    L’aspect le plus important du malware rostore salesonlinecheap2023 est son mécanisme de redirection en fonction de la source du trafic. Pour le trafic direct, il se peut que le malware ne fasse rien ou redirige vers une page légitime du site. Cela donne l’illusion que tout fonctionne normalement, ce qui peut retarder la détection du malware.

    En revanche, pour le trafic organique provenant de moteurs de recherche comme Google, le malware active son mécanisme de redirection. Il envoie les visiteurs vers des sites web de phishing ou des pages contenant des malwares supplémentaires, affectant ainsi le référencement et la réputation du site.

    Ce n’est pas tout, les malwares de redirections peuvent déclencher des pénalités Google. Si vous tardez à désinfecter votre site, vous pourriez observer quelques pertes de positions sur vos mots clés, dans les résultats de recherche Google.

     

     

    Code de redirection PHP utilisé par le malware salesonlinecheap2023:

     

    // Récupérer la valeur du referer
    $referer = $_SERVER['HTTP_REFERER'];
    
    // Vérifier si le trafic vient de Google
    if (strpos($referer, "google.com") !== false) {
        // Redirection pour les utilisateurs venant de Google
        header("Location: https://sitephishing[.]com");
        exit();
    } else {
        // Redirection pour le trafic direct ou venant d'autres sources
        header("Location: https://monsite[.]com");
        exit();
    }
    

     

    Ce script PHP utilise la superglobale $_SERVER['HTTP_REFERER'] pour déterminer d’où vient le visiteur. Il vérifie ensuite si “google.com” est présent dans cette valeur. Si c’est le cas, il redirige vers une page spécifique destinée aux utilisateurs venant de Google. Sinon, il redirige vers une autre page, qui pourrait être la page d’accueil ou toute autre page que vous choisissez.

    Notez que la vérification du HTTP_REFERER n’est pas infaillible. Des utilisateurs ou des bots pourraient masquer ou modifier cette information. De plus, certains navigateurs ou extensions de navigateurs peuvent restreindre le partage de cette information pour des raisons de confidentialité. Il s’agit donc d’une technique de base qui ne remplace pas une solution de sécurité robuste.

     

     

    Code de redirection javascript qui peut aussi être utilisé par ce Malware :

     

    var referrer = document.referrer;
      if (referrer.indexOf("google.com") !== -1) {
        window.location.href = "https://sitephishing[.]com";
      } else {
        window.location.href = "https://monsite[.]com";
      }
    

     

     

    Utilisation des règles .htaccess

     

    Si votre serveur tourne sur Apache, vous pouvez également utiliser le fichier .htaccess pour effectuer des redirections basées sur le champ Referer du header HTTP.

     

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} google\.com [NC]
    RewriteRule .* https://exemple-page-pour-google.com [R,L]
    

     

     

    Utilisation d’un proxy inverse

     

    Si vous utilisez un proxy inverse comme Nginx, vous pouvez configurer des règles de redirection au niveau du serveur. Par exemple, voici comment cela pourrait être fait en utilisant des expressions régulières et des blocs if :

     

    server {
      location / {
        if ($http_referer ~* "google.com") {
          rewrite ^ https://exemple-page-pour-google.com permanent;
        }
      }
    }
    
    

     

     

    Le malware salesonlinecheap2023 redirige les visiteurs en filtrant les adresses IP

     

    En effet, il est possible que vous ou vos visiteurs ne soient pas forcément redirigé, L’explication est simple, le malware utilise un système de filtrage d’dresse IP permettant de rester plus ou moins discret en ne redirigeant qu’une seule fois une personne.

     

     

    Exemple de code permettant de filtrer les adresses IP en PHP :

     

    // Liste des adresses IP à ne pas rediriger
    $noRedirectIPs = ["192.168.1.1", "192.168.1.2"];
    
    // Récupération de l'adresse IP du client
    $clientIP = $_SERVER["REMOTE_ADDR"];
    
    // Vérification si l'adresse IP du client est dans la liste des adresses à ne pas rediriger
    if (!in_array($clientIP, $noRedirectIPs)) {
        // Redirection vers un autre site
        header("Location: https://www.example.com");
        exit;
    }
    

     

    Ce code utilise le tableau $noRedirectIPs pour stocker les adresses IP qui ne doivent pas être redirigées. Ensuite, il utilise la superglobale $_SERVER["REMOTE_ADDR"] pour obtenir l’adresse IP du client. Le code vérifie si cette adresse IP est dans la liste $noRedirectIPs. Si elle ne l’est pas, une redirection HTTP est effectuée.

     

     

    Méthodes de dissimulation du malware de redirection

     

    Dans le monde sombre des malwares, la dissimulation est un art. Les cybercriminels emploient des méthodes de plus en plus sophistiquées pour échapper à la détection. Voici quelques-unes des techniques courantes que ces logiciels malveillants utilisent pour rester cachés.

     

     

    Utilisation de l’obfuscation

     

    L’une des stratégies les plus courantes consiste à obfusquer le code, rendant ainsi son analyse plus difficile pour les experts en sécurité. L’obfuscation peut se faire via plusieurs techniques, comme l’utilisation de variables et de fonctions nommées de manière trompeuse, ou l’encodage en Base64.

     

    Exemple de code Base64 :

    eval(base64_decode('aWYgKCRfU0VSVkVSWydSRU1PVEVfQUREUiddID09ICcxOTIuMTY4LjEuMicpIHsgLy8gY29kZSBtYWxpY2ll
    dX0='));
    

    Note : Ce code est un exemple fictif et ne fait rien de malveillant. Il démontre simplement comment un code peut être encodé en Base64 pour échapper à la détection facile.

     

     

    Injection dans des fichiers légitimes

     

    Une autre tactique consiste à injecter le code malveillant dans des fichiers légitimes du système, rendant ainsi difficile sa localisation sans une analyse approfondie. Cela peut inclure des fichiers .htaccess, des fichiers de configuration WordPress comme wp-config.php, ou même dans des thèmes et des plugins.

     

     

    Utilisation de cron jobs

     

    Certains malwares configurent des tâches planifiées (cron jobs) pour se réactiver automatiquement à des intervalles réguliers, même après une tentative de suppression.

     

     

    Masquerade IP

     

    Comme vous l’avez mentionné, des malwares de redirection utilisent souvent un filtrage IP pour éviter de rediriger plusieurs fois la même personne, ce qui rend difficile leur détection.

     

     

    Exploitation de failles connues

     

    Les malwares tirent souvent parti de failles connues dans les plugins ou thèmes WordPress, ce qui leur permet de s’infiltrer sans éveiller de soupçons. Ils peuvent également utiliser des attaques de type “zero-day” contre des vulnérabilités inconnues.

     

     

    Emprunt de processus légitimes

     

    Dans certains cas, les malwares peuvent même emprunter des processus légitimes pour se masquer, donnant l’illusion que le système fonctionne normalement.

     

     

    Utilisation de domaines expirés ou de redirection

     

    L’utilisation de domaines expirés ou de redirection ajoute une couche de complexité supplémentaire pour ceux qui tentent de tracer la source du problème. Certaines fois, le script malveillant principal ne se trouve pas sur votre serveur mais sur un autre site victime du même pirate. En étant piraté, vous pouvez donc aussi devenir acteur, ce qui peut poser problème en cas de dépôt de plainte par exemple. Vous seriez personnellement responsable d’attaque sur des systèmes informatisés.

     

     

    Utilisation d’un Web Application Firewall (WAF) pour se protéger des attaques de malwares

     

    Pour faire le lien avec les malwares visant WordPress que nous avons abordés jusqu’ici, il faut savoir que les WAF représentent une première ligne de défense contre ces attaques. Ils jouent un rôle important en filtrant et en contrôlant le trafic entre le serveur web et les clients, ce qui peut être particulièrement utile pour atténuer les effets de malwares comme celui que nous avons examiné.

     

     

    Précisions sur le mécanisme des règles WAF

     

    Les Web Application Firewalls sont équipés de moteurs de règles d’une flexibilité impressionnante, offrant un large éventail de personnalisation. Leur sophistication permet l’utilisation de constructions telles que les expressions régulières, aussi connues sous le nom de regex, pour filtrer des modèles spécifiques au sein des requêtes HTTP. De plus, l’usage d’opérateurs logiques et de déclarations conditionnelles apporte une dimension supplémentaire en concevant des sets de règles multidimensionnels capables d’identifier et de répondre à une variété de menaces cybernétiques.

     

     

    Fonctionnalités avancées : Rate Limiting et géo-IP filtering

     

    Dans les Web Firewalls, deux mécanismes de filtrage spécifiques jouent un rôle crucial dans la régulation du trafic : le Rate Limiting et le géo-IP filtering. Le Rate Limiting s’appuie sur des algorithmes de gestion de quota, définissant un seuil de requêtes HTTP admissibles provenant d’une adresse IP unique durant un intervalle temporel donné. Ce processus fait usage d’algorithmes de “Token Bucket” ou de “Leaky Bucket” pour contrôler efficacement la cadence des requêtes et atténuer des attaques telles que les Distributed Denial of Service (DDoS) ou les tentatives de brute-force.

    Quant au géo-IP filtering, il implémente une série de règles basées sur des tables de correspondance géolocalisées. Ces tables sont souvent actualisées en temps réel et permettent de bloquer ou d’autoriser l’accès au serveur web en fonction de l’origine géographique des requêtes IP. Ainsi, des règles conditionnelles peuvent être appliquées, utilisant des opérateurs de comparaison et des déclarations logiques pour offrir un niveau de sécurité granulaire en fonction de la provenance géographique.

     

     

    Considérations de performance et de fiabilité

     

    Il faut être conscient que chaque WAF a ses propres caractéristiques en termes de latence et d’overhead computationnel. Certains peuvent avoir des taux de faux positifs plus élevés, ce qui pourrait conduire au blocage de trafic légitime. Par conséquent, un ajustement fin des règles et une surveillance continue sont nécessaires pour garantir une protection optimale.

     

     

    Nos avis Google

     

     

     

    Questions courantes la réparation de malware WordPress

     

    Peut-on utiliser des scanners de malware pour détecter rostore salesonlinechap2023 ?

    Oui, il existe des scanners de malware spécialisés pour WordPress qui peuvent aider à détecter certaines menaces. Toutefois, ce malware cache des fichiers contenant du code Javascript non considéré comme malveillant. Ce code passera à travers de tous les scanners.

    Est-ce que la mise à jour de WordPress suffit pour éliminer le malware ?

    Pas nécessairement. Bien que la mise à jour de WordPress puisse corriger des vulnérabilités connues, elle ne supprime pas le malware si le site est déjà infecté. Une action manuelle est généralement requise. De plus, le malware est souvent injecté plusieurs semaines avant sa mise en route, de sorte que vous ne puissiez pas le retirer après une restauration de sauvegarde.

    Comment éviter les futures contaminations par malware ?

    Au-delà du déploiement d'un pare-feu applicatif Web (WAF), il est recommandé d'adopter des protocoles de sécurité éprouvés pour WordPress. Cela englobe la mise à jour fréquente du système, l'emploi de combinaisons de mots de passe robustes et un audit régulier des mesures de sécurité en place sur le site.

    Si je vous demande la suppression, garantissez vous un résultat ?

    Oui, lorsque nous intervenons, nous garantissons l'intervention. Pour commencer, le paiement se fait uniquement au résultat. La deuxième chose est que nous garantissons une ou plusieurs interventions gratuite en cas de réinfection post intervention, dans un délai de 6 mois.

    Est-ce que le virus revient après votre intervention de réparation de site piraté ?

    Notre taux de réinfection est de 0% à ce jour, et cela, sur plus de 350 interventions ! Nous donnons de nombreux conseils pour pérenniser la sécurité de votre site web.

    Je n'ai pas envi de donner mes accès du serveur et du site à un inconnu, comment faire ?

    C'est simple ! Il suffit de jetez un oeil aux avis clients. Nous cumulons à ce jour, un total de 170 évaluations 5 étoiles.
    Que ce soit sur la plateforme de développeur codeur.com ou sur Google, nous atteignons 5 étoiles sur 100% de nos avis !