C'est quelque chose qui est arrivé à un paquet de webmasters/administrateurs. Ca se matérialise parfois par un appel (en pleine nuit), avec au bout du fil quelqu'un qui dit (pas forcément en ces termes) :
"Google dit que le site est hacké"
Soudain, c'est la panique.
Que s'est-il passé ? Que faire ? C'est des conneries ?
Non.
Une faille merdique dans le CMS (moisi, genre Joomla) utilisé par le site/blog, ou un serveur encore vulnérable à une vulnérabilité dans Exim ou ProFTPd a permis à un Jean-Kevin (enfin, pas forcément, ça peut-être un bot à lui, ou son homologue russe Ivan-Boris) de venir polliniser (ou souiller) l'hébergement dudit site avec divers kits d'exploitation ou de phishing afin de contribuer à agrandir tel ou tel botnet.
A ce moment là commence la réponse à incident (enfin, en réalité ça commence avant la compromission en étant prêt à réagir). Pour le webmaster du dimanche, ça ne sera pas forcément évident.
Google a pensé à eux et a mis en ligne un guide (pour l'instant en anglais uniquement) expliquant tout un tas de choses :
- Pourquoi et comment les sites se font compromettre
- Mise en quarantaine du site
- Recherche du contenu posant problème
- Recherche de la vulnérabilité ayant permis la compromission
- Nettoyage du contenu malveillant
- Vérification du nettoyage
Ce guide permettra donc au responsable d'un site compromis de comprendre ce qui est attendu de lui au moment où il découvrira que son site héberge du blackhole. Le niveau de complexité des opérations est croissant, et si les premières étapes sont relativement simples, la fin l'est un peu moins (on ne peut en effet pas vraiment attendre de tous les webmasters qu'ils soient capables de faire du network forensics sur les logs du serveur hébergeant leur site). D'ailleurs, Google rappelle que s'il est possible de faire ça soi-même si on est à l'aise dans ces choses là, il est possible de faire appel à des spécialistes.
Bref, un bon guide qui mérite d'être mis plus en avant (et éventuellement traduit en français pour ceux qui ne sont pas compatibles avec l'anglais).
Aucun commentaire:
Enregistrer un commentaire