Bonsoir, Excellente question.
Si vous administrez le site pour votre client, évidemment pas de soucis. S'il est hébergé simplement chez vous, votre seule obligation est la réaction aux messages à votre adresse "abuse" et évidemment vous ne pouvez pas accéder aux arborescences éventuellement privées de vos clients, sauf s'ils vous le demandent expressément. Si vous souhaitez apporter un plus par rapport à cela: - Donner des outils, des informations, à vos clients pour leur permettre de le faire (un forum, un blog, une liste de diffusion avec des guides pour mener ces détections). C'est certainement la façon la plus simple d'y arriver. Une variante serait d'offrir un service de scripts dans un répertoire partagé que les administrateurs eux-mêmes ont la liberté d'exécuter ; - Une veille externe par un scan régulier des contenus publiquement accessibles de vos clients et en fonction de règles mises régulièrement à jour. Evidemment c'est un service qui peut être coûteux, pas forcément à la portée de tous. My 2 cents donc sur le sujet, je suppose que d'autres ont déjà réfléchi à cette question. Cordialement, E.F. 2011/12/22 William Gacquer <w.gacq...@france-citevision.fr>: > Bonsoir, > > un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, > php et js de ses clients pour retrouver la signature d'une vérole telle que > le virus "gendarmerie"? > sur un serveur mutualisé? > sur une VM dédiée? > sur un serveur hébergé? > > Quid de l'accord du client? > Si la signature est présente, quelle est la démarche? > > Presque joyeux Noël > William Gacquer > France Citévision > > Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit : > >> Bonjour, >> >> Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de >> lutte contre la cybercriminalité de la gendarmerie nationale à >> Rosny-sous-Bois. >> Dans le cadre de nos activités de coordination de l'action de la >> gendarmerie contre la délinquance sur Internet, nous réalisons une >> veille attentive autour du virus de rançonnement "Gendarmerie" (et ses >> autres formes) qui est diffusé actuellement. Nous informons aussi le >> public des risques associés pour prévenir l'impact de ce phénomène >> particulier. Pour plus d'informations, vous pouvez visiter mon blog >> personnel : >> http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ >> >> Dans la soirée de mercredi 21 décembre a été porté à notre attention >> (via le site suivant: >> http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/) >> une variante ou une évolution du mode de diffusion de ces logiciels >> malveillants. >> >> Cette fois-ci il s'agit de modifications de sites Web opérées >> frauduleusement, vraisemblablement en exploitant des vulnérabilités >> dans des CMS, Forums et autres de scripts PHP de publication. Après >> l'attaque, les sites présentent des fichiers javascript >> supplémentaires ou modifiés qui contiennent de façon obfusquée un code >> incluant automatiquement du contenu provenant d'un serveur distant. >> >> Ce code prend la forme suivante: (voir l'image) >> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png >> Je tiens à disposition des versions texte pour ceux qui le souhaitent. >> >> Il s'agit d'un encodage assez basique au format hexadécimal qui >> renvoie vers un lien sur un serveur situé en Russie à l'adresse IP >> 91.196.216.64 (voir la version décodée ici: >> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png) >> >> Jusqu'à cette étape, toutes les machines de personnes qui visitent ce >> type de sites et ne filtrant pas ou ne détectant pas ce type de code >> obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64. >> >> Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus >> contient un script de type "BlackHole Exploit Kit" qui exploite les >> vulnérabilités de la machine pour exécuter finalement le code >> malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape >> ne fonctionnera que sur les machines vulnérables (non à jour des >> derniers patchs de système d'exploitation, navigateurs, et ajouts type >> Java, Flash, Adobe...). >> >> Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1, >> qui correspondaient notamment des sites à fort traffic dans la liste >> qui pour l'instant a été identifiée (celle présente sur le blog >> Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient >> effectivement concernés). Des retours que nous avons des premiers >> gestionnaires de sites, de très nombreux, voire la totalité des >> fichiers javascript sont infectés lorsqu'il y a eu une telle attaque. >> On peut donc supposer que l'inclusion de ce code malveillant a été >> faite de façon automatique, en exploitant des vulnérabilités. >> >> J'espère que ces informations vous seront utiles. N'hésitez pas à me >> contacter en cas de question, soit sur la présente liste, soit sur mes >> adresses ci-dessous. Merci de me faire tous retours sur des >> désinfections de sites réussies. >> >> Cordialement, >> >> -- >> Eric Freyssinet >> perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208 >> pro: eric.freyssi...@gendarmerie.interieur.gouv.fr >> blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > -- Eric Freyssinet perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208 pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
