Antivirus pour site web

Le
Sergio
fu2: fr.comp.infosystemes.www.auteurs

Question :
Comment vérifier qu'il y a (ou pas) un virus sur une page web et un site ?

Mon problème, c'est que je travaille sous Linux, et qu'il n'y a pas d'antivirus résident installé sur ma machine. Hors il est
possible qu'un jour, qu'un de mes sites soit infecté, suite à des trous dans un CMS.

Comment donc vérifier rapidement qu'une page est infectée ou pas ? à part rapatrier le site par ftp et passer un coup de ClamAV
dessus, ce qui peut être pénible (et pas sûr, le malware peut être dans la bdd).

Voilà, ce qui peut être un des avantages de Windows sur Linux ;-)

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier Masson
Le #22043671
Le 13/01/2010 08:51, Sergio a écrit :

Comment donc vérifier rapidement qu'une page est infectée ou pas ? à
part rapatrier le site par ftp et passer un coup de ClamAV dessus, ce
qui peut être pénible (et pas sûr, le malware peut être dans la bdd).




C'est quoi un virus de page web ?
Eset NOD ne voit absolument pas c99 ou encore r57 comme des virus, alors
qu'ils sont responsables de bon nombre de catastrophes sur le web.

Il faut "simplement" maintenir à jour tes CMS et veiller à bien coder.
Ainsi, bien entendu, qu'utiliser du ftps (ou sftp) pour modifier ses
sites avec des mots de passe robustes.
Et tout un tas d'autres recommandations qui se trouvent un peu partout
sur le net. Mais si on parle de sécurité système, ça devient moins simple.

Tu peux toujours (ne pas) te rassurer en lançant un scan Nessus sur ton
serveur web. Mais sans les connaissances derrière, tu risques de te noyer.

Voilà, ce qui peut être un des avantages de Windows sur Linux ;-)




Les principaux antivirus existent sous linux (notamment NOD et KAV).
docanski
Le #22043661
Alors que les eleveurs et agriculteurs polluent toujours la Bretagne,
Sergio ecrit ce qui suit en ce 13/01/2010 08:51 :

Question :
Comment vérifier qu'il y a (ou pas) un virus sur une page web et un site ?
Voilà, ce qui peut être un des avantages de Windows sur Linux ;-)



Il me semble avoir vu quelque part qu'un développeur avait ... développé
un antivirus pour Linux.
Enfin .... pour les anxieux fonctionnant sous Linux ... :-)
Mais je ne crois pas qu'il ait une quelconque utilité si tu mets à jour
de manière systématique.

Cordialement,
--
docanski

Portail et annuaire du nord-Bretagne : http://armorance.free.fr/
Guide des champignons d'Europe : http://mycorance.free.fr/
La vallée de la Rance maritime : http://valderance.free.fr/
Les côtes du nord de la Bretagne : http://docarmor.free.fr/
Vivien MOREAU
Le #22043561
On 2010-01-13, docanski wrote:

Il me semble avoir vu quelque part qu'un développeur avait ... développé
un antivirus pour Linux.
Enfin .... pour les anxieux fonctionnant sous Linux ... :-)
Mais je ne crois pas qu'il ait une quelconque utilité si tu mets à jour
de manière systématique.



Et surtout si tu n'installe pas n'importe quoi sur ta machine,
comme sur n'importe quel système :-)

--
Vivien MOREAU / vpm
Sergio
Le #22043541
docanski a écrit :

Question :
Comment vérifier qu'il y a (ou pas) un virus sur une page web et un
site ?
Voilà, ce qui peut être un des avantages de Windows sur Linux ;-)



Il me semble avoir vu quelque part qu'un développeur avait ... développé
un antivirus pour Linux.
Enfin .... pour les anxieux fonctionnant sous Linux ... :-)



ClamAV ? Encore heureux, très utilisé sur les serveurs de mail... Sous Linux, certes, mais avec des virus windows pouvant transiter.

Mais je ne crois pas qu'il ait une quelconque utilité si tu mets à jour
de manière systématique.



Mon but n'est pas de me "protéger", c'est de détecter si sur mes sites, un hacker n'a pas introduit du code malicieux...

Je viens de scanner le cache de Firefox (avec Clamav), il m'a trouvé un code malicieux : Un bout de javascript "obfuscated". Mais
impossible de trouer à quelle page il se rapporte...

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Denis Beauregard
Le #22043531
Le Wed, 13 Jan 2010 15:32:47 +0100, Sergio
fr.comp.infosystemes.www.auteurs:

Mon but n'est pas de me "protéger", c'est de détecter si sur mes sites, un hacker n'a pas introduit du code malicieux...



Un site dont je m'occupais avait été infecté. Je n'étais pas le
gestionnaire principal, toutefois.

L'entrée du malin se faisait par ftp, quelqu'un ayant capturé le
mot de passe envoyé à d'autres gestionnaires (je cherchais en vain
comment une intrusion était possible dans le code !). Il a suffi
de changer de mot de passe.

Ceci dit, la façon de vérifier si ce type d'attaque a eu lieu, ce
serait de regarder les IP dans le log du FTP. On voyait de temps
en temps le fichier index.php lu et remplacé après quelques secondes.


Denis
pdorange
Le #22043501
Sergio
Mon problème, c'est que je travaille sous Linux, et qu'il n'y a pas
d'antivirus résident installé sur ma machine. Hors il est possible qu'un
jour, qu'un de mes sites soit infecté, suite à des trous dans un CMS.



Un site ne peut pas être infecté, le serveur qui l'héberge
éventuellement. Pour éviter cela il convient de protéger le serveur par
les logiciels ad-hoc et d'effectuer les mises à jour de sécurité
recommandés par le fournisseur de l'OS et des outils utilisés.
Après il est aussi possible que le logiciel du site web essaye
d'infecter les postes clients, c'est alors du code malveillant mais
c'est la responsabilité du concepteur du logiciel.

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
pdorange
Le #22043491
Denis Beauregard wrote:

L'entrée du malin se faisait par ftp, quelqu'un ayant capturé le
mot de passe envoyé à d'autres gestionnaires (je cherchais en vain
comment une intrusion était possible dans le code !). Il a suffi
de changer de mot de passe.

Ceci dit, la façon de vérifier si ce type d'attaque a eu lieu, ce
serait de regarder les IP dans le log du FTP. On voyait de temps
en temps le fichier index.php lu et remplacé après quelques secondes.



Une autre technique est aussi de changer de mot de passe régulièrement.

--
Pierre-Alain Dorange
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
Sergio
Le #22043481
Pierre-Alain Dorange a écrit :

L'entrée du malin se faisait par ftp, quelqu'un ayant capturé le
mot de passe envoyé à d'autres gestionnaires (je cherchais en vain
comment une intrusion était possible dans le code !). Il a suffi
de changer de mot de passe.

Ceci dit, la façon de vérifier si ce type d'attaque a eu lieu, ce
serait de regarder les IP dans le log du FTP. On voyait de temps
en temps le fichier index.php lu et remplacé après quelques secondes.





On peut avoir le log des connexions FTP avec les pages persos de Free ?

Une autre technique est aussi de changer de mot de passe régulièrement.



Pas suffisant. Le pirate peut avoir placé "à l'insu de ton plein gré" une page d'upload cachée, avec laquel il a tout loisir
d'injecter ce qu'il veut. Et très souvent, le problème ne vient pas du mot de passe révélé fortuitement, mais d'un trou de sécurité
dans le CMS.

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Sergio
Le #22043461
Pierre-Alain Dorange a écrit :

Mon problème, c'est que je travaille sous Linux, et qu'il n'y a pas
d'antivirus résident installé sur ma machine. Hors il est possible qu'un
jour, qu'un de mes sites soit infecté, suite à des trous dans un CMS.



Un site ne peut pas être infecté, le serveur qui l'héberge
éventuellement. Pour éviter cela il convient de protéger le serveur par
les logiciels ad-hoc et d'effectuer les mises à jour de sécurité
recommandés par le fournisseur de l'OS et des outils utilisés.
Après il est aussi possible que le logiciel du site web essaye
d'infecter les postes clients, c'est alors du code malveillant mais
c'est la responsabilité du concepteur du logiciel.



Vous retardez cher ami !
voir :
http://safeweb.norton.com/report/show?name=funwebmail.ru

Il y a également une discussion dans la liste SPIP...
news://news.gmane.org/gmane.comp.web.spip.user
Sujet : "Virus Trojan signalé par Avast dans les JS"


--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Denis Beauregard
Le #22043451
Le Wed, 13 Jan 2010 19:21:52 +0100, Sergio
fr.comp.infosystemes.www.auteurs:

Pierre-Alain Dorange a écrit :

L'entrée du malin se faisait par ftp, quelqu'un ayant capturé le
mot de passe envoyé à d'autres gestionnaires (je cherchais en vain
comment une intrusion était possible dans le code !). Il a suffi
de changer de mot de passe.





Ceci dit, la façon de vérifier si ce type d'attaque a eu lieu, ce
serait de regarder les IP dans le log du FTP. On voyait de temps
en temps le fichier index.php lu et remplacé après quelques secondes.





On peut avoir le log des connexions FTP avec les pages persos de Free ?



Il n'y a pas que Free qui offre l'hébergement Web.

Une autre technique est aussi de changer de mot de passe régulièrement.



Pas suffisant. Le pirate peut avoir placé "à l'insu de ton plein gré" une page d'upload cachée, avec laquel il a tout loisir
d'injecter ce qu'il veut. Et très souvent, le problème ne vient pas du mot de passe révélé fortuitement, mais d'un trou de sécurité
dans le CMS.



Dans mon cas, c'est pourtant ce qui est arrivé (il n'y a même pas de
CMS, mon collègue utilisant un canevas rendu disponible sur un site
spécialisé). Et ce n'est qu'avec le log FTP que j'ai pu confirmer
que c'était ainsi qu'on injectait du code dans nos pages (depuis une
IP différente à chaque fois).


Denis
Publicité
Poster une réponse
Anonyme