Hi all,
Plusieurs propriétaires de sites web galèrent aujourd’hui a cause des attaques (hack) par la balise HTML <iframe>. Ce genre de hack consiste a placer un <iframe> généralement dans la page index (index.htm index.html index.php ….) qui charge d’autres scripts/ActivX ou autres badwares (warm, trojan….) a partir d’un site web bien définit dans l’iframe.
Il est déjà difficile de faire attention au hack vu que l’iframe est généralement caché (en utilisant la propriété CSS visibility: hidden par exemple) et très bien camouflé (appelé via des scripts en javascript ou autre) et brusquement le site victime est signalé dans les résultats de google comme étant un site malveillant et cela est bien sur après avoir infecter les machines des visiteurs avant d’être découvert.
La question qui se pose est alors -évidemment :-D- comment se protéger contre ce genre d’attaque par iframe? Et si notre site est victime par une attaque iframe comment on pourra résoudre le problème?
On commence déjà par expliquer la nature de l’infection: Cette attaque consiste a infiltrer une machine par un logiciel dont le rôle est de chercher et de détecter toute connexion ftp sur un site. Ensuite, il suffit de chercher les pages index.* et d’y introduire l’iframe. La source du problème est donc sur la machine du propriétaire du site et pas sur le serveur sur lequel le site est hébergé.
Pour se protéger de ce genre d’attaque, il suffit (normalement et tout comme la protection contre n’importe quel virus) d’avoir un antivirus fiable et mis à jour en permanence.
Mais si on est déjà victime, là il y a beaucoup de travail à faire 😀
La solution pour résoudre le problème d’attaque ou hack par iframe:
- Avant tout, il faut scanner son ordinateur avec son antivrus et même avec un anti-malware. D’ailleurs normalement l’antivirus Avast détecte ce genre de virus même avec la version gratuite, (cette information est a confirmer, n’hésitez donc pas à la tester et à donner vos feedbacks 🙂 )
- Ensuite, et après le nettoyage de l’ordinateur, il faut vérifier la source de votre site web et chercher toutes les pages qui contiennent des iframe. Normalement un bon webmaster n’utilise jamais d’iframe sauf s’il n’y a pas d’autres solutions, vous êtes donc censé savoir lesquels des iframe sont des badware :-). Une fois on a trouvé tous les ifrmae, il suffit juste de les supprimer. Je sais que c’est pénible surtout si on a un très grand site mais il y déjà des logiciels qui permettent de lancer la recherche d’un mot ou d’une phrase dans les fichiers d’un dossier comme par exemple notepad++
- La troisième étape consiste à changer vos identifiants ftp (au moins le mot de passe) et à uploader une copie saine de votre site (que vous aurez déjà créer récemment avant d’être infecté)
- La dernière étape est tout simplement de demander a google que votre site n’est plus infecté et qu’il peuvent enlever l’alerte sur votre site sinon vous pouvez toute fois demander ça directement à StopBadWare.org[en] le prestataire de google chargé de la protection anti-malware.
Voilà, j’éspère avoir aider beaucoup de gens avec cette solutions. Vos feedbacks ainsi que vos retroliens seront toujours appréciés 🙂
Edit: Il semble que ces hackeurs exploitent déjà des failles présentent sur les sites victimes et plus exactement des requêtes GET et POST non protégés. Une liste des failles detectées sur le CMS phpBB comme exemple. Pensez donc à mettre à jour votre CMS si vous en utiliser un sinon de bien protéger vos requêtes GET et POST si vous avez developper votre vous même. Merci à Alex pour l’info 🙂
Edit 2: Autre astuce à ajouter à celles listées ci-dessus (sera la 5e étape normalement 🙂 ): il faut aussi supprimer l’historique de connexion (identifiants) de filezilla. Merci Dilettante pour l’info 🙂 (un lien en dofollow comme cadeau 😉 )
Edit 3: Un script pour protéger votre site contre les injections. 🙂
Catégorie: Developpement web, Sécurité informatique
Tags: html, iframe, solution, trojan, virus.
23 commentaires
Ok sympas la soluce, mais on la devine en fait et pour le moment c’est la seul solution qu’on ai trouvé, en fait le gros souci, c’est de nettoyer les lignes de codes à la main, même avec notepad++ il faudrait que le logiciel supprime automatiquement la frame, un script php antivirus online serait la bienvenue, certains essayent de développer sa , on espère en voir un bientôt.
A savoir également que certaine injections se mettent également dans d’autre page que les index.php/html…J’ai eu un fichier .dat infecté et un css également. Et d’autre ver plus développé encore, forment l’injection de code sans iframe mais avec du javascript ou d’une autre manière.
merci pour cette article qui en aidera plus d’un..
Cordialement.
Nicolas.
Oui en fait c’est dur de chercher les iframe injecté dans toutes les pages mais avec notepad++ c’est très facile à faire.
Il suffit juste de chercher la ligne complète qui contient l’injection en utilisant l’option « chercher dans un dossier », ensuite vous ouvrez toutes les pages contenant l’injection, aprés il suffir dutiliser l’option « remplacer dans tout les documents ouverts » pour remplacer le bout de code malveillant par un espace par exemple.
Sinon pour le script php à quoi consiste l’idée exactement? je peux en créer un si j’aurais une bonne idée 🙂
Bonjour,
Après avoir suivi ces étapes l’iframe est revenu. La solution, au moins pour mon cas, était simplement d’effacer l’historique des identifiants de filezilla, sans les changer. Cette étape étant bien sûr la dernière de toute la procédure décrite dans l’article. L’iframe n’est pas revenu depuis 2 mois.
Bon courage pour les infectés.
Christophe
Bonjour, question toute bête… comment effacer l’historique de connexion de filezila? oO
C’est simple 🙂
Juste a coté du bouton « Connexion rapide » il y a une petite flèche vers le bas, vous cliquez dessus ensuite sur « Effacer l’historique » 🙂
Je vous remercie beaucoup. En espérant ne plus avoir de problème.
En réponse à koaster,…
Edit par Oussama:
Merci de ne plus mettre des liens publicitaires
Bonjour,
Voici un complément d’informations sur ce problème :
http://forum.ovh.com/showthread.php?t=49433
Bon courage :/
Hello,
Edit par Oussama:
Merci de ne plus mettre des liens publicitaires !!!
Merci d’effacer le mes derniers messages, j’ai pas lu plus haut !!
Bonjour
C’est sympa cet article apparement j’ai eu droit à mon attaque par iframe sur un site et un blog …
C’est page blanche.
Sérieux la perte de temps de dingue , je me demande comment elles font les web agency qui des centaines sous joomla,wordpress ….
avec des attques pareils…
En mode énervé 🙁
Merci pour l’article
tchao
Bah non!
Il suffit d’avoir un antivirus fiable ou encore mieux d’utiliser linux ou mac au lieu de windows. 🙂
Comme ça c’est sur qu’on aura la tête tranquil (pas de virus, pas d’iframe… 😉 )
Hum, je suis sous linux depuis TJS, et j’ai ce PBleme big time.
Bonjour,
merci pour ces informations très utiles.
Moi aussi je travaille avec linux UBUNTU 9.04 et le site est ‘pourri’ par ce type d’attaque.
J’avais fait un vidage complet des fichiers du site et rechargé spip et les problèmes sont revenus. Je n’avais pas modifié les mots de passes pour les comptes ftp. C’est fait maintenant. je surveille bien évidemment et remplace les index.php dès que je trouve le site en vrille.
Avast détecte ce genre de virus même avec la version gratuite : Je confirme ,mon PC a l’air clair même après un passage sur le site.
Merci pour cet article intéressant !
Merci pour cet article, perso je pense que je vais m’acheter un macbook pour aler en clientelle et dévelloper … marre des virus !
Bonjour à tous,
Quel surprise de voir que Google bloquait « mon propre site » sous joomla pour cause de logiciel malveillant.
Voici le code qui était ajouté à toutes les pages de cette espace de mon serveur et dont la cause est une faille de Joomla ou d’une de mes extensions.
Code:
En effet, il y a plusieurs espace Web sur ce serveur, et seules l’espace sur lequel j’héberge un Joomla a été attaqué.
Je résolu temporairement le problème en :
• Supprimant la ligne de code iframe… avec un rechercher-remplacer de tous mes fichiers.
• Upload de mon dossier corriger sur mon serveur.
• Remplacement du mot de passe FTP.
J’entends déjà qu’on va me dire que le mot de passe est enregistré-stocké avec filezilla sur ma machine et que je suis infecté d’un trojan. Cependant, non ! Je suis sous Mac OS X(pas ou peu de virus sur cet OS ), n’utilise pas Filezilla et ne stock pas mes mots de passe.
Connaitriez-vous la source possible de cette attaque et la manière de procéder pour la résoudre ?
essayez aussi de protéger votre site contre les injection en utilisant ce script:
http://blog.galerie-cesar.com/proteger-son-site-avec-fichier-htaccess/
😉
bonjour,
je viens de créer un site pour notre association, et aujourd’hui j ai une attaque iframe. j’ai suivi vos instruction mais je n ai pas trouver d’iframe dans ma page index. mon site a environ 13 pages et les iframe que j’ai trouvé sont au niveau de l’agenda google et des 4 album photo flickr
exemple :
Line 108:
soit au total 10 iframe, j ai construit ce site avec web easy pro.
si je remplace les iframe je perds mes images que faire????
merci d’avance
cochise
Merci pour l’article.
Comment est-ce possible que des gens puissent injecter des iframes sur le site ? Je ne comprends pas trop
C’est vrai qu’il y avait des iframes à toutes les sauces il y a quelques années. C’était la joie des hackers de tout bord !
Les temps ont changé et il y a de nouveaux Malwares. Peut-être plus nocifs.
Intéressant et même inquiétant je ferais dorénavant attention à ce genre de techniques d’attaques qui peuvent faire des ravages, pour ma part je n’en avait jamais entendu parlant auparavant.