Ça va devenir la série d’articles que vous détestez le plus.
Première semaine de juillet
Le site a des comportements étranges, je met ça sur le compte de mes bricolages. En effet, je travaille sur une campagne et j’adapte mon site. Je bricole donc mon site et rien ne semble suspect. Pourtant, il y a un imposteur parmi nous. Je ne le sais pas encore, mais un fichier va nous causer bien des ennuis.
Deuxième semaine de juillet
Tous mes sites se comportent étrangement. Ma campagne est finie, je m’apprête à fermer le formulaire lié. Cependant, dans mon dos, de drôles de choses s’installe contre mon gré sur le site.
Troisième semaine de juillet
Je vais sur mon site comme à mon habitude. Seulement, certaines pages ne marchent pas. Je vais alors bricoler dans le serveur. Il y a une multitude de fichiers dont je ne connais pas l’origine qui sont partout dans le serveur. Je suis confus, en regardant les pages, je vois des lignes et des lignes de codes qui n’ont rien à voir avec mon site. Quand je vais sur mon site, celui-ci télécharge automatiquement des malwares. Le processeur du serveur fonctionne à 113%. Je n’ai aucune idée de ce qu’il se passe et j’éteins le serveur. Que ce passe t’il?
Je décide donc d’un plan d’attaque. Je me connecte au serveur, je fais des sauvegardes de tous les fichiers avant de tout supprimer du serveur. Je supprime toutes les clés SSH, je fouille les logs pour trouver qui a pu faire ça, mais rien à faire, je ne vois personne. Je coupe apache et je mets en ligne une page avec le message suivant :
Comment le site a été suicidé, nouvelle version.
Bonjour, goldenlib.fr a été victime des hackers russes. Le site est donc désactivé pour une durée indéterminée pendant que je cherche comment fixer ça. Si vous avez téléchargé des fichiers sur mon site durant le mois de Juillet, supprimez les et nettoyez votre ordinateur. Désolé du dérangement occasionné et merci de votre compréhension.
J’ai paniqué quand j’ai vu du script avec du cyrillique et des scripts qui s’auto-download
Et je vis juste, les fichiers de code avaient des annotations en russes et je n’ai aucune idée de ce que veut dire :
// $file_name - имя текст дока, который надо прочитать. $arr_name - имя массива, в который надо сохранить.
J’ai alors pris le temps de désinfecté la sauvegarde. J’ai cherché tous les fichiers et en même temps, j’ai cherché à savoir si les hackers avaient toujours des accès. Le formulaire sur ma page de campagne semble avoir été l’entrée. En effet, il n’a pas de captcha et un script mal veillant parais être passé par là. Il me faudra trois jours pour tout réparer et pour sécuriser tout ce qui peut être faillible. Les coupables, je ne les connais pas. Il paraît être russe et travailler pour des sites de dropshipping japonais au vus des codes. J’ai trouvé des sites de prestataires, mais je ne vous les partagerais pas pour ne pas risquer qu’ils vous attaquent.
Quatrième semaine de juillet
Le site est à nouveau en ligne, nous sommes maintenant en sécurité.
Passez une belle navigation sur la toile et n’oubliez pas que d’une certaine manière, j’ai combattu une invasion russe.