Antivirus pour site web
Sergio
Question :
Comment v�rifier qu'il y a (ou pas) un virus sur une page web et un site ?
Mon probl�me, c'est que je travaille sous Linux, et qu'il n'y a pas d'antivirus r�sident install� sur ma machine. Hors il est
possible qu'un jour, qu'un de mes sites soit infect�, suite � des trous dans un CMS.
Comment donc v�rifier rapidement qu'une page est infect�e ou pas ? � part rapatrier le site par ftp et passer un coup de ClamAV
dessus, ce qui peut �tre p�nible (et pas s�r, le malware peut �tre dans la bdd).
Voil�, ce qui peut �tre un des avantages de Windows sur Linux ;-)
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Olivier Masson
> Comment donc v�rifier rapidement qu'une page est infect�e ou pas ? �
> part rapatrier le site par ftp et passer un coup de ClamAV dessus, ce
> qui peut �tre p�nible (et pas s�r, le malware peut �tre dans la bdd).
>
C'est quoi un virus de page web ?
Eset NOD ne voit absolument pas c99 ou encore r57 comme des virus, alors
qu'ils sont responsables de bon nombre de catastrophes sur le web.
Il faut "simplement" maintenir � jour tes CMS et veiller � bien coder.
Ainsi, bien entendu, qu'utiliser du ftps (ou sftp) pour modifier ses
sites avec des mots de passe robustes.
Et tout un tas d'autres recommandations qui se trouvent un peu partout
sur le net. Mais si on parle de s�curit� syst�me, �a devient moins simple.
Tu peux toujours (ne pas) te rassurer en lan�ant un scan Nessus sur ton
serveur web. Mais sans les connaissances derri�re, tu risques de te noyer.
> Voil�, ce qui peut �tre un des avantages de Windows sur Linux ;-)
>
Les principaux antivirus existent sous linux (notamment NOD et KAV).
docanski
Sergio ecrit ce qui suit en ce 13/01/2010 08:51 :
> Question :
> Comment vï¿œrifier qu'il y a (ou pas) un virus sur une page web et un site ?
> Voilᅵ, ce qui peut ᅵtre un des avantages de Windows sur Linux ;-)
Il me semble avoir vu quelque part qu'un dᅵveloppeur avait ... dᅵveloppᅵ
un antivirus pour Linux.
Enfin .... pour les anxieux fonctionnant sous Linux ... :-)
Mais je ne crois pas qu'il ait une quelconque utilitᅵ si tu mets ᅵ jour
de maniï¿œre systï¿œmatique.
Cordialement,
--
docanski
Portail et annuaire du nord-Bretagne : http://armorance.free.fr/
Guide des champignons d'Europe : http://mycorance.free.fr/
La vallï¿œe de la Rance maritime : http://valderance.free.fr/
Les cï¿œtes du nord de la Bretagne : http://docarmor.free.fr/
Vivien MOREAU
> Il me semble avoir vu quelque part qu'un dᅵveloppeur avait ... dᅵveloppᅵ
> un antivirus pour Linux.
> Enfin .... pour les anxieux fonctionnant sous Linux ... :-)
> Mais je ne crois pas qu'il ait une quelconque utilitᅵ si tu mets ᅵ jour
> de maniï¿œre systï¿œmatique.
Et surtout si tu n'installe pas n'importe quoi sur ta machine,
comme sur n'importe quel systï¿œme :-)
--
Vivien MOREAU / vpm
Sergio
>> Question :
>> Comment vï¿œrifier qu'il y a (ou pas) un virus sur une page web et un
>> site ?
>> Voilᅵ, ce qui peut ᅵtre un des avantages de Windows sur Linux ;-)
>
> Il me semble avoir vu quelque part qu'un dᅵveloppeur avait ... dᅵveloppᅵ
> un antivirus pour Linux.
> Enfin .... pour les anxieux fonctionnant sous Linux ... :-)
ClamAV ? Encore heureux, trᅵs utilisᅵ sur les serveurs de mail... Sous Linux, certes, mais avec des virus windows pouvant transiter.
> Mais je ne crois pas qu'il ait une quelconque utilitᅵ si tu mets ᅵ jour
> de maniï¿œre systï¿œmatique.
Mon but n'est pas de me "protï¿œger", c'est de dï¿œtecter si sur mes sites, un hacker n'a pas introduit du code malicieux...
Je viens de scanner le cache de Firefox (avec Clamav), il m'a trouvᅵ un code malicieux : Un bout de javascript "obfuscated". Mais
impossible de trouer ᅵ quelle page il se rapporte...
Denis Beauregard
<serge....@delbono.net.invalid> �crivait dans
fr.comp.infosystemes.www.auteurs:
>Mon but n'est pas de me "prot�ger", c'est de d�tecter si sur mes sites, un hacker n'a pas introduit du code malicieux...
Un site dont je m'occupais avait �t� infect�. Je n'�tais pas le
gestionnaire principal, toutefois.
L'entr�e du malin se faisait par ftp, quelqu'un ayant captur� le
mot de passe envoy� � d'autres gestionnaires (je cherchais en vain
comment une intrusion �tait possible dans le code !). Il a suffi
de changer de mot de passe.
Ceci dit, la fa�on de v�rifier si ce type d'attaque a eu lieu, ce
serait de regarder les IP dans le log du FTP. On voyait de temps
en temps le fichier index.php lu et remplac� apr�s quelques secondes.
Denis
Pierre-Alain Dorange
> Mon probl�me, c'est que je travaille sous Linux, et qu'il n'y a pas
> d'antivirus r�sident install� sur ma machine. Hors il est possible qu'un
> jour, qu'un de mes sites soit infect�, suite � des trous dans un CMS.
Un site ne peut pas �tre infect�, le serveur qui l'h�berge
�ventuellement. Pour �viter cela il convient de prot�ger le serveur par
les logiciels ad-hoc et d'effectuer les mises � jour de s�curit�
recommand�s par le fournisseur de l'OS et des outils utilis�s.
Apr�s il est aussi possible que le logiciel du site web essaye
d'infecter les postes clients, c'est alors du code malveillant mais
c'est la responsabilit� du concepteur du logiciel.
--
Pierre-Alain Dorange <http://microwar.sourceforge.net/>
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
<http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
Pierre-Alain Dorange
wrote:
> L'entr�e du malin se faisait par ftp, quelqu'un ayant captur� le
> mot de passe envoy� � d'autres gestionnaires (je cherchais en vain
> comment une intrusion �tait possible dans le code !). Il a suffi
> de changer de mot de passe.
>
> Ceci dit, la fa�on de v�rifier si ce type d'attaque a eu lieu, ce
> serait de regarder les IP dans le log du FTP. On voyait de temps
> en temps le fichier index.php lu et remplac� apr�s quelques secondes.
Une autre technique est aussi de changer de mot de passe r�guli�rement.
Sergio
>> L'entr�e du malin se faisait par ftp, quelqu'un ayant captur� le
>> mot de passe envoy� � d'autres gestionnaires (je cherchais en vain
>> comment une intrusion �tait possible dans le code !). Il a suffi
>> de changer de mot de passe.
>> Ceci dit, la fa�on de v�rifier si ce type d'attaque a eu lieu, ce
>> serait de regarder les IP dans le log du FTP. On voyait de temps
>> en temps le fichier index.php lu et remplac� apr�s quelques secondes.
On peut avoir le log des connexions FTP avec les pages persos de Free ?
> Une autre technique est aussi de changer de mot de passe r�guli�rement.
Pas suffisant. Le pirate peut avoir plac� "� l'insu de ton plein gr�" une page d'upload cach�e, avec laquel il a tout loisir
d'injecter ce qu'il veut. Et tr�s souvent, le probl�me ne vient pas du mot de passe r�v�l� fortuitement, mais d'un trou de s�curit�
dans le CMS.
Sergio
>> Mon probl�me, c'est que je travaille sous Linux, et qu'il n'y a pas
>> d'antivirus r�sident install� sur ma machine. Hors il est possible qu'un
>> jour, qu'un de mes sites soit infect�, suite � des trous dans un CMS.
>
> Un site ne peut pas �tre infect�, le serveur qui l'h�berge
> �ventuellement. Pour �viter cela il convient de prot�ger le serveur par
> les logiciels ad-hoc et d'effectuer les mises � jour de s�curit�
> recommand�s par le fournisseur de l'OS et des outils utilis�s.
> Apr�s il est aussi possible que le logiciel du site web essaye
> d'infecter les postes clients, c'est alors du code malveillant mais
> c'est la responsabilit� du concepteur du logiciel.
Vous retardez cher ami !
voir :
http://safeweb.norton.com/report/show?name=funwebmail.ru
Il y a �galement une discussion dans la liste SPIP...
news://news.gmane.org/gmane.comp.web.spip.user
Sujet : "Virus Trojan signal� par Avast dans les JS"
Denis Beauregard
<serge....@delbono.net.invalid> �crivait dans
fr.comp.infosystemes.www.auteurs:
>Pierre-Alain Dorange a �crit :
>
>>> L'entr�e du malin se faisait par ftp, quelqu'un ayant captur� le
>>> mot de passe envoy� � d'autres gestionnaires (je cherchais en vain
>>> comment une intrusion �tait possible dans le code !). Il a suffi
>>> de changer de mot de passe.
>
>>> Ceci dit, la fa�on de v�rifier si ce type d'attaque a eu lieu, ce
>>> serait de regarder les IP dans le log du FTP. On voyait de temps
>>> en temps le fichier index.php lu et remplac� apr�s quelques secondes.
>
>On peut avoir le log des connexions FTP avec les pages persos de Free ?
Il n'y a pas que Free qui offre l'h�bergement Web.
>> Une autre technique est aussi de changer de mot de passe r�guli�rement.
>
>Pas suffisant. Le pirate peut avoir plac� "� l'insu de ton plein gr�" une page d'upload cach�e, avec laquel il a tout loisir
>d'injecter ce qu'il veut. Et tr�s souvent, le probl�me ne vient pas du mot de passe r�v�l� fortuitement, mais d'un trou de s�curit�
>dans le CMS.
Dans mon cas, c'est pourtant ce qui est arriv� (il n'y a m�me pas de
CMS, mon coll�gue utilisant un canevas rendu disponible sur un site
sp�cialis�). Et ce n'est qu'avec le log FTP que j'ai pu confirmer
que c'�tait ainsi qu'on injectait du code dans nos pages (depuis une
IP diff�rente � chaque fois).
Denis
user
> Voilà, ce qui peut être un des avantages de Windows sur Linux ;-)
>
... que vous ne regardez pas de CMS avec windows, il n'y a pas de contenu,
c'est du commerce!
--
--
What's on Shortwave guide: choose an hour, go!
http://shortwave.tk
700+ Radio Stations on SW http://swstations.tk
300+ languages on SW http://radiolanguages.tk
Pierre-Alain Dorange
> > Un site ne peut pas �tre infect�, le serveur qui l'h�berge
> > �ventuellement. Pour �viter cela il convient de prot�ger le serveur par
> > les logiciels ad-hoc et d'effectuer les mises � jour de s�curit�
> > recommand�s par le fournisseur de l'OS et des outils utilis�s.
> > Apr�s il est aussi possible que le logiciel du site web essaye
> > d'infecter les postes clients, c'est alors du code malveillant mais
> > c'est la responsabilit� du concepteur du logiciel.
>
> Vous retardez cher ami !
> voir :
> http://safeweb.norton.com/report/show?name=funwebmail.ru
je veux bien retard�, mais il sagit l� d'une liste de menaces d�tect�
dans des bouts de codes, je vois rien de bien neuf... C'est typiquement
le code malveillant dont la responsabilit� est celle de celui qui a cr�e
ou mis ces codes malveillant sur le site.
Pierre-Alain Dorange
> > Une autre technique est aussi de changer de mot de passe r�guli�rement.
>
> Pas suffisant. Le pirate peut avoir plac� "� l'insu de ton plein gr�" une
> page d'upload cach�e,
Cach� de l'administrateur du serveur ?
> avec laquel il a tout loisir d'injecter ce qu'il veut. Et tr�s souvent, le
> probl�me ne vient pas du mot de passe r�v�l� fortuitement, mais d'un trou
> de s�curit� dans le CMS.
Les trous de s�curit� des CMS se r�gle par les mises � jour propos�s
(�voqu� plus haut), y'a pas d'autres moyens.
Mais la trou de s�curit� du mot de passe est malheureusement tr�s
souvent n�glig� et c'est pourtant *la* faille majeure.
Comme dis le proverbe, "le probl�me de s�curit� est bien souvent entre
la chaise et le clavier" ;-)