Rien avoir, je te conseille de lire l'article du MISC numéro 37, il est tout à fait possible de pirtaer un serveur web officiel pendant son fonctionnement, d'y injecter du code et ainsi tout les news user qui viendrait s'y connecté excécuteraient du code malveillant et ainsi ce faire infecté.
Et je te parle bien de site qui ont pignon sur rue.
http://www.phrack.org/issues.html?issue=59&id=8#article
http://www.phrack.org/issues.html?issue=62&id=10#article
Les chercherus de la compagnie SecureWorks ont analysé le contenu d'un serveur qui a été piraté. Ils en sont venus à la conslusion qu'une fois les pirates en contrôle du serveur, ils injectent leur code malicieux dans le processus d'apache.
Ces instructions sont utilisées pourr charger un shared object pour que le processus distribue des pages web modifiées qui tentent d'installer un malware sur l'ordinateur des visiteurs.
En d'autres mots, les fichiers n'ont pas été installé sur le disque dur du serveur. Le contenu malicieux qui a été ajouté aux pages web est plutôt généré dynamiquement. Il ne touche jamais le disque du serveur piraté. Les fichiers sont envoyés, à partir de la mémoire du processus d'Apache, directement au client.
Le code injecté a donc modifié la liste des hôtes virtuels dans la mémoire pour insérer un javascript malicieux.
L'ajout est minim, généralement dans le milieu de la page principale HTML, et ressemble à ceci
<script language='JavaScript' type='text/javascript' src='tfaxb.js'></script>
Cette balise de code javascript indique au navigateur internet qu'il doit faire une seconde requête sur le serveur pour télécharger et excécuter un javascript. A chaque requête, le nom du fichier javascript change, rendant l'analyse et la détection de l'infection plus difficile.
Bref de la haute voltige.
Publié : 17 Juil 2008 17:18
