Suite à une demande récente d’une association dont le site a été piraté, je tiens à faire un article qui regroupera quelques conseils pour récupérer un site piraté et se protéger à l’avenir.

Je suppose dans la suite que vous avez accès au serveur pour y effectuer les manipulations nécessaires. Si ce n’est pas le cas, il faut voir avec votre administrateur système/web.

Note :

Si il s’agit d’un compte piraté, l’article correspondant aux comptes piratés se situe à l’adresse suivante : https://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/

3 étapes pour savoir si un site a été piraté

Habituellement lorsqu’un site est piraté, on le remarque, des fichiers sont supprimés, des éléments changent, certains services ne fonctionnent plus…etc.

Que ce soit pour en avoir le cœur net ou pour simplement vérifier, il est intéressant d’analyser le serveur et le site à la recherche des traces d’un pirate.

Voici donc 3 étapes (non exhaustives) à suivre.

1. Observer les messages externes

L’exemple typique nous vient de Google, lorsque la phrase « Ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de recherche.

exemple de site hacké

Parfois, c’est votre antivirus qui détecte le site comme malveillant ou un autre outil comme Google Safebrowsing :

http://www.google.com/safebrowsing/diagnostic?site=leblogduhacker.fr

(Note : Remplacez « leblogduhacker.fr » par votre site).

Si vous utilisez les Outils pour les webmasters de Google, vous aurez potentiellement un message et un moyen de régler le problème. Voici également d’autres informations de la part de Google : http://www.google.com/webmasters/hacked/

Votre navigateur peut également vous avertir :

site piraté Un problème a été détecté sur cette page

L’exemple suivant vient du navigateur Firefox. Pour recevoir plus d’informations sur les messages affichés, vous pouvez cliquer ici.

2. Observer les logs

Et dans d’autres cas vous observez par vous-même que quelque chose est suspect et qu’une intrusion est probable. Pour cela on peut notamment observer dans les logs (enregistrements de l’activité) du serveur web, des messages d’erreurs suspects. Pour cela il existe beaucoup de services comme URLVoid, Sucuri, ou Virustotal ainsi que des outils de scan de logs comme Scalp ou encore Fail2ban.

Il existe aussi les commandes classiques pour récupérer le contenu du répertoire de logs (/var/log). Ici un autre exemple avec la commande « last » sous Linux qui affiche la liste des derniers utilisateurs connectés ainsi que leur adresse IP :

last-login

Il est facile de repérer une adresse IP inhabituelle car elle ne correspond pas à votre adresse IP.

Pour de l’aide sur les adresses IP, je vous redirige par ici :

https://www.leblogduhacker.fr/donne-moi-ton-ip-je-te-dirai-qui-tu-es/

https://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/

3. Observer les fichiers modifiés

Enfin, vous pouvez également observer les derniers fichiers modifiés durant les 24 dernières heures (1 * 24) à l’aide de la commande Linux suivante :

find /repertoire-a-observer -mtime 1 -print | more

Récupérer un site piraté

Vient maintenant l’étape cruciale :  Comment récupérer un site piraté ?

Cela dépend beaucoup du travail de sauvegarde et de prévention que vous avez fait auparavant. Si le point précédent vous a permis de savoir qui est entré ou du moins comment il est entré sur votre serveur, vous pouvez supprimer/corriger les fichiers en questions afin de « patcher » la faille.

Si cela ne pose pas de problème pour vous et que vous préférez opter pour la solution brutale, vous pouvez réinstaller votre serveur mais sachez que si vous réinstallez par dessus un site faillible, le pirate reviendra sans problèmes.

Faire des analyses du serveur et du site

Un moyen plutôt sûr mais coûteux et de faire analyser votre serveur et/ou site. Pour cela il existe ce que l’on appelle des scanners de vulnérabilités comme Nikto (gratuit) ou Acunetix (payant).

Faire un test d’intrusion (pentest) est également le job des hackers éthiques, il existe divers types de prestations dont l’audit de sécurité en boîte noire (le hacker n’a pas connaissance du système interne) et l’audit de sécurité en boîte blanche (le hacker connaît le fonctionnement interne). Ces prestations sont souvent réservées aux grandes entreprises, mais en ayant acquis des connaissances en hacking vous serez tout de même en mesure d’analyser votre site ou votre serveur afin de détecter et déjouer vous même la plupart des attaques.

Installer des outils de détection d’intrusion

Ces outils sont divisés en deux groupes principaux : Les premiers vérifient les intrusions au niveau de la machine, les seconds vérifient les intrusions au niveau du réseau.

Parmi eux le plus populaire est probablement Snort, et vous aurez à maintenir des règles de sécurité.

Mettre à jour encore et toujours

Souvent les failles sont patchées via des mises à jour de sécurité. Faites donc absolument toutes les mises à jour que vous pouvez faire, et observez éventuellement si les patchs en question corrigent les vulnérabilités rencontrées.

À faire quoi qu’il arrive : changer les mots de passe

Peu importe comment votre site a pu être sécurisé, il faut à présent que vous changiez tous les mots de passe. C’est-à-dire les mots de passe de votre compte (et de tous les autres comptes) sur le site et le serveur, le mot de passe de la base de données, etc… Car sécuriser un site en laissant un mot de passe au pirate, c’est lui permettre de revenir sans soucis.

Garder un site et un serveur sain à l’avenir

Pour que cela ne recommence pas à peine votre récupération terminée. Il faut garder en tête des bonnes pratiques.

Parmi les bonne pratiques, on notera les suivantes :

Sauvegarder régulièrement

En ayant sauvegardé vos fichiers régulièrement, il est bien plus facile de se remettre d’une attaque. Pensez donc à sauvegarder votre base de données, vos fichiers importants et tout ce dont vous avez besoin.

Surveiller ce qu’il se passe sur le serveur

C’est maintenant une bonne occasion d’installer des outils de monitoring pour votre serveur. On notera :

Vous pouvez également vous rendre sur l’article suivant dans lequel j’explique comment créer un site web sécurisé :

https://www.leblogduhacker.fr/creer-un-site-web-securise/

Vous y trouverez des conseils similaires à ceux-ci et d’autres astuces pour être et rester en sécurité.

Connaître les menaces et savoir s’en protéger

Je parle souvent des menaces et des moyens de s’en protéger, en ayant conscience de celles-ci vous saurez les éviter et comment réagir et cas de problème.

Par exemple :

20 Commentaires. En écrire un nouveau

  • merci pour cet article très intéressant et très bien fait comme d’hab ^^

    Répondre
  • Il en aidera plus d’un je pense, merci à toi !

    Répondre
  • Merci à vous !

    Répondre
    • Bonjour Michel,
      Est ce que vous pouvez me dire comment faire pour arrêter les lancements automatiques des sites web, quand je clique n’importe ou sur l’écran il me lance automatiquement un site(chaque fois un site différent) que je n’ai pas sélectionné!! et c’a devenu gênant pour moi

      Merci beaucoup d’avance

      Reda

      Répondre
      • Bonjour Reda,
        Tout d’abord il vous faut savoir si le lancement automatique se produit lors d’un clic sur un site donné uniquement, ou si cela se produit peu importe le site visité (par exemple sur Google). Dans le premier cas, c’est parce que le site en question affiche (probablement volontairement) ces fenêtres. Dans le deuxième cas, c’est qu’une extension de navigateur malveillante (ou un programme malveillant) a été installé(e) et qu’il faudrait supprimer rapidement. Si ces fenêtres sont des fenêtres publicitaires, vous pouvez également vous en débarrasser avec une extension de navigateur comme Adblock.
        Bonne continuation.

        Répondre
  • Bonsoir,
    Cela fait 2 fois que je me fait pirater ma boite gmail sur 2 adresses différentes avec la perte de tous mes mails et de tous mes fichiers de sauvegarde. Est-il possible de récupérer mes mails et si oui comment ? Merci

    Répondre
  • Fait, cheval de Troie. Réparations effectuées et antivirus sérieux. Est-il possible de récupérer les mails qui ont disparu ?

    Répondre
  • la marmaille à la case
    24 juin 2015 21 h 22 min

    Quand on ouvre notre site c’est un autre site qui n’a rien avoir avec qui le remplace! Besoin d’aide urgent s’il vous plait

    Répondre
    • Bonjour, la situation d’urgence dans laquelle vous vous trouvez sera difficile a résoudre rapidement et correctement en commentaires. Votre page principale (probablement index.php) a été modifiée et cela probablement via un vol de mot de passe administrateur ou du serveur. Difficile de vous aider davantage sans plus d’informations !

      Répondre
  • bonjour

    j ai besoin de conseil s.v.p y a t il un logiciel complet qui répare les erreurs ,corrige , protège contre tous intrus etc…, qui nettoie etc………

    en attente d une réponse je vous remercies par avance

    Répondre
  • Bonjour
    Peut-être pourrez vous m’aider . j’ai un site internet http://www.escalemosaique.com qui a été piraté depuis début janvier. Je ne connais strictement rien à l’informatique. …je ne sais pas quoi faire….sachant que l’hébergeur n’est pas en cause et que l’entreprise qui a fait le site a cessé son activité.

    Répondre
    • Bonjour, dans un sens je crois que ce n’est pas plus mal que cette entreprise ait fermé ses portes…Par contre il vous faudra un accès au serveur pour remettre votre site en place, et je dirais même que l’idéal est de repartir sur des bases solides. Avez-vous donc un moyen d’accéder au serveur hébergeant votre site ?

      Répondre
      • Bonjour. Oui normalement j’ai tout ce qu’il me faut y compris une copie de sauvegarde de mon site. Car lorsque c’est arrivé j’ai quand même pris contact avec le créateur du site qui avait gardé ces informations. Le hic c’est que je ne sais pas comment m’y prendre ni connaissant rien au monde informatique du Web ni de l’administration du site. C’est pour cela que j’avais fait appel à un professionnel. …: (

        Répondre
        • Malheureusement je n’aurai pas le temps de vous aider personnellement, l’idéal est pour moi de récupérer cette sauvegarde et d’héberger le site ailleurs. Il n’y a pas de façon universelle de récupérer cette sauvegarde, il vous faudra vous baser sur les éléments reçus par le passé afin de savoir où elle se trouve et surtout comment la récupérer. Je suppose que vous aviez un panel d’administration mais que celui-ci n’est désormais plus accessible. Dans ce cas peut-être qu’on vous à communiquer des identifiants pour accéder au serveur ou un moyen de contacter un administrateur ?

          Répondre
  • […] Mon site a été piraté, que faire ? […]

    Répondre
  • Bonjour,
    Je suis complémtement désemparé de ce qui m’arrive, je suis agent immobilier et j’ai un site .com, il semblerait que mon site ai été aspiré voici maintenant un peu plus d’un an et la copie est en .fr. Le problème est que quand nos clients tape le nom de notre agence dans google, le site .fr sort en 3 ème position et les vlients consultent donc une page obsolète et qui plus est, ils ne peuvent pas nous contacter, car si le formulaire de contact est bien actif, le mail ne nous parviens jamais. De plus, certains vendeurs qui tombent sur ce site nous repprochent de ne pas voir leur maison en vente sur notre site.
    J’ai contacté l’AFNIC, mais n’ai pas encore engagé de démarche.
    Pouvez vous m’aider ou me guider?
    Merci par avance.
    Bruno

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Failles Web
Attention aux piratages via les extensions de navigateurs

Dans l'article d'aujourd'hui je vais parler des façons de se protéger contre des techniques de piratage vieilles mais qui pourraient toujours utilisées et efficaces lorsqu'on...

Close