Compromis et virus : choses dues ?

Les Pages Perso Chez Free

Par albert, le , dans En cas de problème. / Dernière modification : le par Al (merci à Nan'Art).
Tags : Erreur 403, Phishing, Suspension, Sécurité

Ma page perso est suspendue et quand je vais sur la console de gestion de mon compte m'identifier avec le login et le mot de passe du compte e-mail correspondant, il m'est indiqué comme cause de la suspension : compromis, site piraté, piratage, malware, itsoknoproblembro, BROBOT ou virus. Qu'est-ce que ça veut dire et qu'est-ce que je dois faire pour récupérer l'accès à ma page ?

« Compromis », « Piratage », « Site piraté », « itsoknoproblembro » ou « BROBOT » signifie que les identifiants d'accès à cette page perso, en particulier le mot de passe, ne sont plus connus de vous seul et qu'un indélicat s'en sert pour utiliser votre page perso à des fins peu recommandables, voire illégales. « Malware » ou « Virus » signifie qu'une ou des pages, un fichier… sont infectés, soit depuis votre ordinateur personnel – infecté lui aussi –, soit en raison d'une faille de sécurité ou d'une compromission et que votre compte se transforme maintenant en relais pour la diffusion de tels contenus dangereux.

Il faut donc sans délai récupérer le contrôle de votre compte, et pour cela, changer de mot de passe. Mais il faut s'assurer aussi d'empêcher l'indélicat de découvrir votre nouveau mot de passe ! Pour cela, vous devez vous assurer que l'attaquant ne peut pas récupérer votre nouveau mot de passe comme il a trouvé l'ancien, par exemple :

  • depuis votre ordinateur, si celui-ci a été compromis car infecté par un virus par exemple, qui aura fouillé vos fichiers ou surveillé vos accès ;
  • depuis un autre ordinateur, si vous avez utilisé vos identifiants sur un ordinateur compromis, dans un cyber-café ou chez une connaissance ;
  • par une faille de votre page perso, repérée dans le CMS que vous utilisez (Joomla!, Dotclear, SPIP, etc.) ;
  • par la force brute, si votre mot de passe est trop court, ou assez long mais trop simple (car issu d'un dictionnaire par exemple) ;
  • indirectement par un autre de vos comptes : si un attaquant a compromis un compte principal dont vous êtes le titulaire, il a un accès total aux comptes secondaires correspondants.

Il faut donc « remonter » le long de la compromission et « boucher » toutes les failles, en suivant les étapes suivantes :

  1. Sécurisez votre ordinateur en vous assurant d'avoir une solution de sécurité (anti-virus, pare-feu, etc.) installée, active et à jour ;
  2. N'utilisez jamais un autre ordinateur pour accéder à vos pages perso ;
  3. Changez les mot de passe de votre compte page perso, et personnalisez les mots de passe FTP et SQL. Choisissez-les de 16 caractères pour le mot de passe du compte et de l'accès FTP et 10 pour le mot de passe SQL, pas plus, composés de lettres majuscules et minuscules de de chiffres, et n'ayant pas de sens discernable. Au besoin, tirez-les au sort ;
  4. Si le compte compromis est un compte principal, attendez quelques heures après avoir changé les mots de passe, puis changez aussi les mots de passe de tous les comptes secondaires correspondants ;
  5. Sécurisez vos pages perso : mettez à jour le CMS (Joomla!, Dotclear, Drupal, SPIP, Wordpress…) que vous utilisez, ainsi que ses greffons, extensions, plugins, etc.
  6. Vous pouvez rechercher l'origine de la faille grâce à la liste des fichiers modifiés (et leur date de modification) sur votre compte à l'aide du script proposé par JC_Et et les développeurs de CMS Made Simple, disponible ⬇︎ ici.

Ensuite, vous devrez appliquer les mêmes démarches qu'en cas de phishing.

Pré-requis pour les virus et compromissions

  1. Changement des mots de passe du compte, de l'accès FTP et SQL (éventuellement, si une base est active) ; si le compte suspendu est un compte principal, il est impératif de changer les mots de passe de l'ensemble des comptes secondaire rattachés à celui-ci et, pour plus de sécurité, tous les comptes dont vous êtes le titulaire ;
  2. Mettre en conformité avec les règles d'utilisation des pages perso l'ensemble des pages perso rattachées au compte principal touché (liste sur le forum Usenet des pages perso de Free ou sur ce site). Si ce pré-requis n'est pas effectué, l'admin n'étudiera pas votre demande ;
  3. Vérifier qu'aucun des comptes est orphelin (erreur 500 lors de la connexion à l'interface de gestion) ;
  4. « Passer les ordinateurs à l'antivirus », de préférence un antivirus robuste et mis régulièrement à jour. Voir 2 anti-virus ;
  5. Trouver ce qui a entrainé la présence du virus sur le compte et préciser les mesures qui seront prises pour que cela ne se reproduise pas (mettre en place un captcha, sécuriser les scripts PHP…) ;
  6. Mettre à jour la copie locale du site, avec les corrections permettant d'interdire la répétition de la compromission et vérifier qu'aucun morceau de code malveillant n'est présent dans les pages, dans le fichier .htaccess et qu'aucun fichier douteux n'est également présent sur le site ;
  7. Demander la levée du blocage à Lionel, de manière claire, courte et précise en présentant ce qui a été fait, ce qui sera fait une fois l'accès FTP rétabli, en postant un message sur le forum Usenet de Free ;
  8. Une fois que l'admin a redonné la main, supprimer l'ensemble des fichiers sur le serveur et les remplacer par ceux de la copie locale saine et sécurisée ;
  9. Ré-ouvrir l'accès en modifiant le fichier .htaccess à bon escient.