Lors d’un transfert de site internet vers une station de travail nous avons

l’antivirus

qui a bloqué plusieurs fichiers.

Nous avons donc fait des recherches sur le serveur et avons confirmé la présence de fichiers intrus et l’examen du contenu a révélé un code malicieux crypté utilisant la fonction rawurldecode pour pouvoir l’exécuter.

 

Ces virus sont créés par des robots et sont très faciles à détecter :

• le nom de fichier commence par un point, ce qui détermine les fichiers cachés sous linux
• ensuite on trouve une suite alphanumérique
• enfin le fichier prend l’extension « .ico » qui est utilisée pour les fichiers icones

Nous avons donc crée un script qui scanne les fichiers du site internet à la recherche de fichiers dont le nom correspond à ces caractéristiques, lit le contenu à la recherche de « urldecode » et place les fichiers trouvés en quarantaine et nous envoie un e-mail pour nous prévenir,

On l’a installé sur tous nos sites et placé en tâches planifiées a 21h30.

Pour ceux qui seraient intéressés par le masque REGEXP qui réagit au nom de fichier, nous l’avons crée comme ceci :

$pattern = ‘#(^[\.]+)([0-9a-z]+)([\.ico]+)$#i’;

Pour le contenu nous avons aussi ajouté  eval :

$malicious_string = ‘#(urldecode|eval)#i’;