Bonsoir, un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, php et js de ses clients pour retrouver la signature d'une vérole telle que le virus "gendarmerie"? sur un serveur mutualisé? sur une VM dédiée? sur un serveur hébergé?
Quid de l'accord du client? Si la signature est présente, quelle est la démarche? Presque joyeux Noël William Gacquer France Citévision Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit : > Bonjour, > > Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de > lutte contre la cybercriminalité de la gendarmerie nationale à > Rosny-sous-Bois. > Dans le cadre de nos activités de coordination de l'action de la > gendarmerie contre la délinquance sur Internet, nous réalisons une > veille attentive autour du virus de rançonnement "Gendarmerie" (et ses > autres formes) qui est diffusé actuellement. Nous informons aussi le > public des risques associés pour prévenir l'impact de ce phénomène > particulier. Pour plus d'informations, vous pouvez visiter mon blog > personnel : > http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ > > Dans la soirée de mercredi 21 décembre a été porté à notre attention > (via le site suivant: > http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) > une variante ou une évolution du mode de diffusion de ces logiciels > malveillants. > > Cette fois-ci il s'agit de modifications de sites Web opérées > frauduleusement, vraisemblablement en exploitant des vulnérabilités > dans des CMS, Forums et autres de scripts PHP de publication. Après > l'attaque, les sites présentent des fichiers javascript > supplémentaires ou modifiés qui contiennent de façon obfusquée un code > incluant automatiquement du contenu provenant d'un serveur distant. > > Ce code prend la forme suivante: (voir l'image) > http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png > Je tiens à disposition des versions texte pour ceux qui le souhaitent. > > Il s'agit d'un encodage assez basique au format hexadécimal qui > renvoie vers un lien sur un serveur situé en Russie à l'adresse IP > 91.196.216.64 (voir la version décodée ici: > http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) > > Jusqu'à cette étape, toutes les machines de personnes qui visitent ce > type de sites et ne filtrant pas ou ne détectant pas ce type de code > obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. > > Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus > contient un script de type "BlackHole Exploit Kit" qui exploite les > vulnérabilités de la machine pour exécuter finalement le code > malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape > ne fonctionnera que sur les machines vulnérables (non à jour des > derniers patchs de système d'exploitation, navigateurs, et ajouts type > Java, Flash, Adobe...). > > Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, > qui correspondaient notamment des sites à fort traffic dans la liste > qui pour l'instant a été identifiée (celle présente sur le blog > Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient > effectivement concernés). Des retours que nous avons des premiers > gestionnaires de sites, de très nombreux, voire la totalité des > fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. > On peut donc supposer que l'inclusion de ce code malveillant a été > faite de façon automatique, en exploitant des vulnérabilités. > > J'espère que ces informations vous seront utiles. N'hésitez pas à me > contacter en cas de question, soit sur la présente liste, soit sur mes > adresses ci-dessous. Merci de me faire tous retours sur des > désinfections de sites réussies. > > Cordialement, > > -- > Eric Freyssinet > perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208 > pro: eric.freyssi...@gendarmerie.interieur.gouv.fr > blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
