Infection massive de magento : Guruincsite

Depuis quelques jours, nous assistons à une infection massive de sites propulsés par le moteur Magento. Google a ainsi blacklisté pas moins de 8 000 sites.

Une fois infecté, le site contient une iframe qui exécute un script hébergé sur le site « guruinciste.com », qui exploite une vulnérabilité sur le player flash pour tenter d’infecter les postes clients avec un troyen.

simple-guruincsite-site

J’ai eu le « plaisir » de travailler sur l’un de ces 8 000 magento infectés. L’analyse des logs sur la journée de l’infection n’a rien donné de très parlant, et j’ai du coup remonté un peu la période d’analyse. Il semble que le piratage du serveur se soit déroulé en deux phases.

La première date du 22 août, ou une personne venant du Maroc a exploité une vulnérabilité Magento (SUPEE-5994/SUPEE-5344) pour créer un compte administrateur supplémentaire. Puis, la faille en question a été patchée sur le serveur, et plus aucune activité suspecte n’est visible, jusqu’au 16 octobre, ou ce compte a été utilisé pour lancer l’infection.

Si votre serveur Magento est dans le même cas, il faut donc d’urgence appliquer le patch cité, supprimer tous les comptes administrateurs non légitimes, et ensuite supprimer les scripts insérés dans vos pages en suivant la procédure suivante :

https://magentary.com/kb/magento-malware-cleanup-function-lcwehhxhfer1/

Afin d’être sûr que tout a bien été nettoyé, je vous conseille de faire un export de votre base de données en format txt (mysqldump), puis d’effectuer les recherches sur les mots clés LCWEHH et guruincsite.

Leave a Comment