Combell Tech : attention aux hackers qui utilisent l’injection d’Iframe

Hacking, injection, logiciels malveillants et autres formes d’abus ne sont pas des phénomènes nouveaux ; chaque internaute a déjà été confronté à ces problèmes. Les méthodes qui sont utilisées varient et évoluent également très fort et elles sont de surcroît très liées aux tendances. Pour les hackers, l’évolution est essentielle, car ils font continuellement la course avec les fournisseurs de services qui veulent limiter l’impact de l’abus.

Chaque tentative d’abus a un certain motif et l’époque où le prestige était le seul motif dans les cercles de hackers underground commence tout doucement à être révolue. Les hackers utilisent leurs actions pour diffuser un certain message à grande échelle. Celui-ci peut être à caractère politique, mais il peut également être purement commercial.

Une nouvelle tendance

La toute nouvelle tendance en matière d’abus via Internet est l’injection d’iframes dans les différents fichiers des comptes d’hébergement. Cet iframe n’est pas visible sur le site web, mais il génère du trafic en arrière-plan sur un certain site. Il s’agit donc d’une stratégie bien étudiée permettant d’attirer des visiteurs supplémentaires sur certains sites et éventuellement aussi de générer des revenus Google AdWords supplémentaires.

Cette méthode de piratage est également motivée par 2 autres raisons :

    L’infection de votre ordinateur via une faille de sécurité dans Adobe Acrobat
    L’obtention de vos mots de passe locaux

Caractéristiques

Vous pouvez facilement reconnaître ces formes d’abus. Dans le code source des sites piratés, vous retrouverez toujours un iframe ressemblant à ceci :

Iframe injection

Comment cela arrive-t-il sur votre hébergement?

Des études ont démontré que cette méthode ne découle pas d’une mauvaise sécurisation : ce n’est ni le serveur, ni le réseau qui est piraté, mais certains comptes sur un serveur. Dans le passé, c’étaient surtout les sites web avec des failles de sécurité qui étaient ciblés, mais aujourd’hui, même des sites web hautement sécurisés sont touchés.
Apparemment, ces hackers réussissent à découvrir le mot de passe FTP du compte d’hébergement afin d’y obtenir l’accès. Il est clair que les hackers obtiennent ainsi – façon de parler – les clés de la porte d’entrée.

Comment obtient-on les codes FTP ?

La véritable cause du problème n’est pas liée à l’hébergement, mais à un problème sur l’ordinateur des personnes touchées. Apparemment, ces iframes renvoient vers des pages où se trouve un fichier PDF infecté. En raison d’une faille de sécurité dans Adobe Acrobat, un outil de sniffing est installé sur votre ordinateur, masqué sous la forme d’un PDF à première vue inoffensif.

Sur CVE-2008-2992, vous pouvez lire qu’il s’agit de ce que l’on appelle un « Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2 ». Le sniffer ainsi installé peut sans problème transmettre votre mot de passe FTP vers les hackers en question, leur fournissant ainsi l’accès à votre compte.

Comment pouvez-vous vous protéger ?

En tant qu’hébergeur, nous pouvons difficilement vous protéger contre ce type de piratage, vu que c’est votre ordinateur local qui est infecté. Il est important que vous abandonniez le plus vite possible la version 8.1.2 d’Adobe Acrobat (ou toute version antérieure) et que vous installiez immédiatement la version la plus récente.
Lorsque vous pensez être victime d’une attaque par injection d’iframe, vous devez au moins suivre les étapes suivantes :
- Utilisez votre antivirus pour neutraliser le virus
- Après que le virus ait été éliminé, vous devez modifier votre mot de passe FTP au plus vite
- Éliminez les iframes de votre code source
- Lorsque votre site a été bloqué par Google, utilisez leurs Outils pour les webmasters pour être rayé de leur liste noire.

Les clients qui ont une adresse IP unique sur leur compte d’hébergement peuvent nous envoyer une demande afin que nous paramétrions le pare-feu de façon plus stricte. Cela ne fonctionne naturellement que lorsque vous avez une adresse IP fixe chez votre fournisseur de services Internet. De cette manière, nous n’autorisons que des connections FTP à partir de votre adresse IP fixe et les hackers ne peuvent pas ouvrir une session sur votre compte d’hébergement. Cela n’empêche pas votre ordinateur local de toujours être infecté.

Conclusion

En raison de la combinaison de l’injection sur le serveur et de l’infection de votre ordinateur, un effet de spirale se crée, ce qui fait que de plus en plus de personnes deviennent victimes. Nous avons constaté que le virus Adobe Acrobat ne transmet que des codes FTP, mais il se peut que le virus évolue dans un futur proche et qu’il fasse encore bien plus de dégâts.

Articles connexes

WordPress infogéré chez Combell

WordPress infogéré fait son arrivée chez Combell !

  • 29 juin 2020
  • Temps de lecture : 7 min

Avec le nouveau WordPress infogéré de Combell, vous pouvez vous concentrer pleinement sur le contenu de votre site web. Combell se charge du reste : sécurité, rapidité, mises à jour... Et...
Arnaques aux noms de domaines - exemples et astuces

Arnaques aux noms de domaines : faites très attention !

  • 18 mars 2020
  • Temps de lecture : 5 min

Il existe de nombreuses formes d'arnaques aux noms de domaines dans le cadre desquelles les escrocs utilisent votre nom de domaine comme appât pour vous duper. Nous allons donc examiner...
the babys corner customer case

The baby’s corner fait un grand bond en avant dans la vente en ligne grâce à l’hébergement de Combell

  • 26 avril 2019
  • Temps de lecture : 6 min

En l'espace de 20 ans, the baby’s corner est devenu un concept global pour les mamans, les bébés et les enfants. Aujourd'hui, les jeunes parents et leurs amis passent plus de...