Mon site a été piraté, que faire ?
Suite à une demande récente d’une association dont le site a été piraté, je tiens à faire un article qui regroupera quelques conseils pour récupérer un site piraté et se protéger à l’avenir.
Je suppose dans la suite que vous avez accès au serveur pour y effectuer les manipulations nécessaires. Si ce n’est pas le cas, il faut voir avec votre administrateur système/web.
Note :
Si il s’agit d’un compte piraté, l’article correspondant aux comptes piratés se situe à l’adresse suivante : https://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
3 étapes pour savoir si un site a été piraté
Habituellement lorsqu’un site est piraté, on le remarque, des fichiers sont supprimés, des éléments changent, certains services ne fonctionnent plus…etc.
Que ce soit pour en avoir le cœur net ou pour simplement vérifier, il est intéressant d’analyser le serveur et le site à la recherche des traces d’un pirate.
Voici donc 3 étapes (non exhaustives) à suivre.
1. Observer les messages externes
L’exemple typique nous vient de Google, lorsque la phrase « Ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de recherche.
Parfois, c’est votre antivirus qui détecte le site comme malveillant ou un autre outil comme Google Safebrowsing :
http://www.google.com/safebrowsing/diagnostic?site=leblogduhacker.fr
(Note : Remplacez « leblogduhacker.fr » par votre site).
Si vous utilisez les Outils pour les webmasters de Google, vous aurez potentiellement un message et un moyen de régler le problème. Voici également d’autres informations de la part de Google : http://www.google.com/webmasters/hacked/
Votre navigateur peut également vous avertir :
2. Observer les logs
Et dans d’autres cas vous observez par vous-même que quelque chose est suspect et qu’une intrusion est probable. Pour cela on peut notamment observer dans les logs (enregistrements de l’activité) du serveur web, des messages d’erreurs suspects. Pour cela il existe beaucoup de services comme URLVoid, Sucuri, ou Virustotal ainsi que des outils de scan de logs comme Scalp ou encore Fail2ban.
Il existe aussi les commandes classiques pour récupérer le contenu du répertoire de logs (/var/log). Ici un autre exemple avec la commande « last » sous Linux qui affiche la liste des derniers utilisateurs connectés ainsi que leur adresse IP :
Pour de l’aide sur les adresses IP, je vous redirige par ici :
https://www.leblogduhacker.fr/donne-moi-ton-ip-je-te-dirai-qui-tu-es/
https://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/
3. Observer les fichiers modifiés
Enfin, vous pouvez également observer les derniers fichiers modifiés durant les 24 dernières heures (1 * 24) à l’aide de la commande Linux suivante :
find /repertoire-a-observer -mtime 1 -print | more
Récupérer un site piraté
Vient maintenant l’étape cruciale : Comment récupérer un site piraté ?
Cela dépend beaucoup du travail de sauvegarde et de prévention que vous avez fait auparavant. Si le point précédent vous a permis de savoir qui est entré ou du moins comment il est entré sur votre serveur, vous pouvez supprimer/corriger les fichiers en questions afin de « patcher » la faille.
Si cela ne pose pas de problème pour vous et que vous préférez opter pour la solution brutale, vous pouvez réinstaller votre serveur mais sachez que si vous réinstallez par dessus un site faillible, le pirate reviendra sans problèmes.
Faire des analyses du serveur et du site
Un moyen plutôt sûr mais coûteux et de faire analyser votre serveur et/ou site. Pour cela il existe ce que l’on appelle des scanners de vulnérabilités comme Nikto (gratuit) ou Acunetix (payant).
Faire un test d’intrusion (pentest) est également le job des hackers éthiques, il existe divers types de prestations dont l’audit de sécurité en boîte noire (le hacker n’a pas connaissance du système interne) et l’audit de sécurité en boîte blanche (le hacker connaît le fonctionnement interne). Ces prestations sont souvent réservées aux grandes entreprises, mais en ayant acquis des connaissances en hacking vous serez tout de même en mesure d’analyser votre site ou votre serveur afin de détecter et déjouer vous même la plupart des attaques.
Installer des outils de détection d’intrusion
Ces outils sont divisés en deux groupes principaux : Les premiers vérifient les intrusions au niveau de la machine, les seconds vérifient les intrusions au niveau du réseau.
Parmi eux le plus populaire est probablement Snort, et vous aurez à maintenir des règles de sécurité.
Mettre à jour encore et toujours
Souvent les failles sont patchées via des mises à jour de sécurité. Faites donc absolument toutes les mises à jour que vous pouvez faire, et observez éventuellement si les patchs en question corrigent les vulnérabilités rencontrées.
À faire quoi qu’il arrive : changer les mots de passe
Peu importe comment votre site a pu être sécurisé, il faut à présent que vous changiez tous les mots de passe. C’est-à-dire les mots de passe de votre compte (et de tous les autres comptes) sur le site et le serveur, le mot de passe de la base de données, etc… Car sécuriser un site en laissant un mot de passe au pirate, c’est lui permettre de revenir sans soucis.
Garder un site et un serveur sain à l’avenir
Pour que cela ne recommence pas à peine votre récupération terminée. Il faut garder en tête des bonnes pratiques.
Parmi les bonne pratiques, on notera les suivantes :
Sauvegarder régulièrement
En ayant sauvegardé vos fichiers régulièrement, il est bien plus facile de se remettre d’une attaque. Pensez donc à sauvegarder votre base de données, vos fichiers importants et tout ce dont vous avez besoin.
Surveiller ce qu’il se passe sur le serveur
C’est maintenant une bonne occasion d’installer des outils de monitoring pour votre serveur. On notera :
- https://www.pingdom.com/monitoring/ (en anglais et non testé)
- http://www.monitor.us/en/website-monitoring (en anglais et non testé)
Vous pouvez également vous rendre sur l’article suivant dans lequel j’explique comment créer un site web sécurisé :
https://www.leblogduhacker.fr/creer-un-site-web-securise/
Vous y trouverez des conseils similaires à ceux-ci et d’autres astuces pour être et rester en sécurité.
Connaître les menaces et savoir s’en protéger
Je parle souvent des menaces et des moyens de s’en protéger, en ayant conscience de celles-ci vous saurez les éviter et comment réagir et cas de problème.
Par exemple :
20 Commentaires
Cliquez ici pour ajouter un commentaire
merci pour cet article très intéressant et très bien fait comme d’hab ^^
Il en aidera plus d’un je pense, merci à toi !
Merci à vous !
Bonjour Michel,
Est ce que vous pouvez me dire comment faire pour arrêter les lancements automatiques des sites web, quand je clique n’importe ou sur l’écran il me lance automatiquement un site(chaque fois un site différent) que je n’ai pas sélectionné!! et c’a devenu gênant pour moi
Merci beaucoup d’avance
Reda
Bonjour Reda,
Tout d’abord il vous faut savoir si le lancement automatique se produit lors d’un clic sur un site donné uniquement, ou si cela se produit peu importe le site visité (par exemple sur Google). Dans le premier cas, c’est parce que le site en question affiche (probablement volontairement) ces fenêtres. Dans le deuxième cas, c’est qu’une extension de navigateur malveillante (ou un programme malveillant) a été installé(e) et qu’il faudrait supprimer rapidement. Si ces fenêtres sont des fenêtres publicitaires, vous pouvez également vous en débarrasser avec une extension de navigateur comme Adblock.
Bonne continuation.
Bonsoir,
Cela fait 2 fois que je me fait pirater ma boite gmail sur 2 adresses différentes avec la perte de tous mes mails et de tous mes fichiers de sauvegarde. Est-il possible de récupérer mes mails et si oui comment ? Merci
commence déjà par vérifier si ton pc est pas infecté
Fait, cheval de Troie. Réparations effectuées et antivirus sérieux. Est-il possible de récupérer les mails qui ont disparu ?
Quand on ouvre notre site c’est un autre site qui n’a rien avoir avec qui le remplace! Besoin d’aide urgent s’il vous plait
Bonjour, la situation d’urgence dans laquelle vous vous trouvez sera difficile a résoudre rapidement et correctement en commentaires. Votre page principale (probablement index.php) a été modifiée et cela probablement via un vol de mot de passe administrateur ou du serveur. Difficile de vous aider davantage sans plus d’informations !
bonjour
j ai besoin de conseil s.v.p y a t il un logiciel complet qui répare les erreurs ,corrige , protège contre tous intrus etc…, qui nettoie etc………
en attente d une réponse je vous remercies par avance
Bonjour,
C’est une très bonne question, malheureusement pour le moment seul l’utilisateur est en mesure de faire tout cela !
Bonjour
Peut-être pourrez vous m’aider . j’ai un site internet escalemosaique qui a été piraté depuis début janvier. Je ne connais strictement rien à l’informatique. …je ne sais pas quoi faire….sachant que l’hébergeur n’est pas en cause et que l’entreprise qui a fait le site a cessé son activité.
Bonjour, dans un sens je crois que ce n’est pas plus mal que cette entreprise ait fermé ses portes…Par contre il vous faudra un accès au serveur pour remettre votre site en place, et je dirais même que l’idéal est de repartir sur des bases solides. Avez-vous donc un moyen d’accéder au serveur hébergeant votre site ?
Bonjour. Oui normalement j’ai tout ce qu’il me faut y compris une copie de sauvegarde de mon site. Car lorsque c’est arrivé j’ai quand même pris contact avec le créateur du site qui avait gardé ces informations. Le hic c’est que je ne sais pas comment m’y prendre ni connaissant rien au monde informatique du Web ni de l’administration du site. C’est pour cela que j’avais fait appel à un professionnel. …: (
Malheureusement je n’aurai pas le temps de vous aider personnellement, l’idéal est pour moi de récupérer cette sauvegarde et d’héberger le site ailleurs. Il n’y a pas de façon universelle de récupérer cette sauvegarde, il vous faudra vous baser sur les éléments reçus par le passé afin de savoir où elle se trouve et surtout comment la récupérer. Je suppose que vous aviez un panel d’administration mais que celui-ci n’est désormais plus accessible. Dans ce cas peut-être qu’on vous à communiquer des identifiants pour accéder au serveur ou un moyen de contacter un administrateur ?
Merci de votre réponse. Je dois effectivement avoir tout ça ?
maintenant….
[…] Mon site a été piraté, que faire ? […]
Bonjour,
Je suis complémtement désemparé de ce qui m’arrive, je suis agent immobilier et j’ai un site .com, il semblerait que mon site ai été aspiré voici maintenant un peu plus d’un an et la copie est en .fr. Le problème est que quand nos clients tape le nom de notre agence dans google, le site .fr sort en 3 ème position et les vlients consultent donc une page obsolète et qui plus est, ils ne peuvent pas nous contacter, car si le formulaire de contact est bien actif, le mail ne nous parviens jamais. De plus, certains vendeurs qui tombent sur ce site nous repprochent de ne pas voir leur maison en vente sur notre site.
J’ai contacté l’AFNIC, mais n’ai pas encore engagé de démarche.
Pouvez vous m’aider ou me guider?
Merci par avance.
Bruno
Bonjour,
Je ne suis pas certain d’avoir compris le souci. Si le nom de domaine .fr vous appartient, vous pouvez mettre en place une redirection vers le nouveau site, et Google se chargera du reste. Si le site web ne vous appartient pas/plus, vous pouvez demander au webmaster/hebergeur de le supprimer pour des raisons de droits d’auteur. Vous pouvez contacter la CNIL et Google pour faire valoir vos droits : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles https://www.google.com/webmasters/tools/dmca-dashboard
Si je n’ai pas correctement répondu, n’hésitez pas à me détailler votre question. Bonne continuation. Michel