Caractéristiques
- La défiguration (ou le defacement) consiste à changer les éléments d’un site web par un contenu. Elle peut être très discrète (ex : iframe injection) ou évidente (ex : << vous avez été piraté par xxx>>).
Situations possibles
La première page d’un site Web ne fonctionne pas et un message << piraté par xxx >> s’affiche
Une page ou une partie du site ne fait pas les actions qu’il est censé faire
La navigation sur une page particulière ouvre des pop-ups publicitaires
Stratégie de réponse
- Qualification
- Si besoin (en cas de problème complexe ou d’un serveur web très important), envisager le déploiement d’un serveur web temporaire. Celui-ci pourrait contenir soit une copie du site, en se basant sur un backup, soit un site diffèrent (mode dégradé) o soit une simple page HTML en indiquant que le service est indisponible. (recommandé pour ne pas subir de seconde attaque sur le serveur de secours). Sauvegarder toutes les données stockées sur le serveur web dans l’objectif de forensic et de collecte de preuve. La bonne pratique est de réaliser une copie complète du disque dur de la machine contenant le serveur web. Cela sera utile pour restaurer les fichiers supprimés.
- Vérifier la cartographie de l’architecture réseau. Contrôler que la vulnérabilité exploitée par l’attaquant n’est pas présente à un autre endroit de l’infrastructure
- Confinement
- Vérifier les fichiers statiques (en particulier leur date de modification et leur condensat) ; code source
- Analyser avec attention le code source de la page afin d’identifier clairement le problème et de vérifier les liens présent dans la page web (src, meta, css, script -) En particulier, il faut être sur quel problème vient d’un serveur appartenant à l’entreprise et non pas d’un serveur externe (par exemple dans le cas d’une bannière de publicité provenant d’un acteur tiers)
- Vérifier les fichiers logs. Scanner la base de données à la recherche de contenu malveillant (trace d’injection). Trouver comment l’attaquant s’est introduit dans le système et réparer cette vulnérabilité : une vulnérabilité d’un composant web qui autorise l’accès en écriture, un dossier ouvert au public une SQL rendant possible les injections…
La vulnérabilité exploitée peut être :
- Sur les systèmes hébergeant le serveur web
- Sur les services en exécution sur la machine
- Sur les connexions avec d’autres systèmes
Si la source de l’attaque est un autre système sur le réseau, le déconnecter (physiquement si possible) et enquêter dessus
- Remédiation (Correction)
- Enlever tout le contenu altéré et remplacer le contenu légitime (restauré d’un précédent backup). S’assurer que ce contenu ne comporte aucune vulnérabilité.
- Confinement
- Si les serveurs de backup ont été utilisés, restaurer le serveur web primaire à l’état nominal.
Assistance en cas de problème
- Veuillez-vous faire assister par un prestataire CYBERSECURITE local que vous aurez préalablement identifié.
- Contacter vos correspondants « infrastructure et sécurité » qui vous apporteront leurs assistances et compétences pour traiter l’incident
Leave feedback about this