Nettoyage du piratage par mots clés japonais

Ce guide a été spécifiquement créé pour un type de piratage qui ajoute à votre site du texte en japonais. Nous l'appelons "Piratage par mots clés japonais". Ce guide s'adresse avant tout aux utilisateurs de systèmes de gestion de contenu populaires (CMS), mais il peut vous être utile, même si vous ne vous servez pas d'un tel système.

Remarque : Vous ignorez si votre site a été piraté ? Commencez par lire notre guide Comment savoir si mon site a été piraté ?

Sommaire

Identification du type de piratage

Le piratage par mots clés japonais consiste généralement à créer sur votre site des pages contenant du texte japonais (généré de manière automatique) dans des répertoires dont les noms sont générés de façon aléatoire (par exemple, http://example.com/ltjmnjp/341.html). Ces pages sont monétisées à l'aide de liens d'affiliation renvoyant à des magasins vendant des contrefaçons, puis affichées dans la recherche Google. Voici un exemple de l'une de ces pages :

Avec ce type de piratage, le pirate informatique s'ajoute généralement en tant que propriétaire du site dans la Search Console afin d'accroître ses bénéfices en modifiant les paramètres de votre site, tels que le ciblage géographique ou vos sitemaps. Si vous avez reçu une notification indiquant qu'un inconnu a validé votre site dans la Search Console, il y a fort à parier que votre site a été piraté.

Commencez par consulter l'outil Problèmes de sécurité dans la Search Console pour voir si nous avons découvert l'une de ces pages piratées sur votre site. Vous pouvez également découvrir ce type de page en saisissant site:[URL racine de votre site] dans une fenêtre de recherche Google. Les pages que nous avons indexées pour votre site, y compris les pages piratées, sont alors affichées. Parcourez quelques pages des résultats de recherche pour voir si vous rencontrez des URL inhabituelles. Si vous ne détectez aucun contenu piraté dans la recherche Google, utilisez les mêmes termes de recherche dans un autre moteur de recherche. Les autres moteurs de recherche peuvent indiquer du contenu piraté que nous avons supprimé de l'index. Exemple :

Notez que les résultats de recherche contiennent ici plusieurs pages non créées par le propriétaire du site. Si vous examinez attentivement les descriptions, vous découvrirez des exemples de texte japonais inséré automatiquement.

Lorsque vous consultez une page piratée, il se peut qu'un message vous indique que la page n'existe pas (par exemple, une erreur 404). Faites attention. Les pirates tenteront de vous faire croire que le site est désinfecté en vous laissant penser que la page a disparu ou qu'elle a été nettoyée. Pour ce faire, les pirates utilisent des techniques de dissimulation (cloaking) pour cacher leur contenu. Vérifiez si votre site est concerné par le cloaking en saisissant les URL injectées dans l'outil Explorer comme Google. Cet outil vous permet de voir le contenu masqué sous-jacent.

Nettoyage du piratage

Avant toute chose, faites une copie hors ligne des fichiers que vous souhaitez supprimer, au cas où vous devriez les restaurer plus tard. Il est même préférable de sauvegarder l'intégralité de votre site avant de commencer le processus de nettoyage. Pour cela, vous pouvez sauvegarder tous les fichiers de votre serveur sur un emplacement hors connexion ou rechercher les meilleures options de sauvegarde pour votre système CMS. Si vous utilisez un système CMS, vous devez également sauvegarder la base de données.

Supprimer les comptes nouvellement créés de la Search Console

Si un nouveau propriétaire qui vous est inconnu a été ajouté à votre compte Search Console, révoquez dès que possible son accès. Vous pouvez vérifier quels sont les utilisateurs validés pour votre site sur la page de validation de la Search Console. Cliquez sur l'option "Détails de la validation" associée au site pour afficher tous les utilisateurs validés.

Pour supprimer un propriétaire de la Search Console, lisez la section consacrée à la suppression d'un propriétaire dans l'article Gérer les utilisateurs, les propriétaires et les autorisations du centre d'aide. Vous devrez supprimer le jeton de validation associé à ce propriétaire. Il s'agit généralement d'un fichier HTML à la racine de votre site ou d'un fichier .htaccess généré dynamiquement et imitant un fichier HTML.

Si vous ne parvenez pas à trouver de jeton de validation HTML sur votre site, recherchez une règle de réécriture dans votre fichier .htaccess. Cette règle ressemble à ceci :

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

Remarque : Généralement, vous pouvez vérifier si vous avez bien supprimé un jeton de validation généré de façon dynamique en accédant à un fichier de jeton de validation factice comme wwww.example.com/google[chiffres et lettres aléatoires].html. Par exemple, si votre site est www.lefootballdenicolas.com, essayez d'accéder à www.lefootballdenicolas.com/google1234.html. Si cette page renvoie un message d'erreur HTTP 404, le jeton de validation généré de façon dynamique est probablement corrigé.

Pour supprimer ce jeton de votre fichier .htaccess, procédez comme suit.

Vérifier le fichier .htaccess (deux étapes)

Mis à part l'utilisation d'un fichier .htaccess pour créer des jetons de validation générés dynamiquement, les pirates utilisent souvent des règles .htaccess pour rediriger les utilisateurs ou créer des pages de spam dont le contenu est vide de sens. Si vous ne disposez d'aucune règle .htaccess personnalisée, pensez à remplacer votre fichier .htaccess par une copie complètement nouvelle.

Étape 1

Localisez le fichier .htaccess sur votre site. Si vous ne savez pas où chercher et si vous utilisez un CMS comme WordPress, Joomla ou Drupal, saisissez "emplacement fichier .htaccess" dans un moteur de recherche en indiquant le nom de votre CMS. En fonction de votre site, il se peut que vous trouviez plusieurs fichiers .htaccess. Répertoriez alors l'emplacement de chacun d'eux.

Étape 2

Remplacez tous les fichiers .htaccess par leur version propre ou par défaut. Vous pouvez généralement trouver une version par défaut d'un fichier .htaccess en recherchant "fichier .htaccess par défaut" et le nom de votre système de gestion de contenu. Pour les sites contenant plusieurs fichiers .htaccess, trouvez une version non infectée de chacun d'eux et procédez au remplacement.

Remarque : Le fichier .htaccess est souvent un fichier "caché". Veillez à activer l'affichage des fichiers cachés lorsque vous effectuez une recherche.

Supprimer tous les scripts et les fichiers malveillants (quatre étapes)

L'identification des fichiers malveillants peut être délicate et fastidieuse. Prenez votre temps lors de la vérification des fichiers. Le cas échéant, profitez-en pour sauvegarder les fichiers de votre site. Dans la recherche Google, saisissez "sauvegarder mon site" et le nom de votre système CMS pour savoir comment sauvegarder votre site.

Étape 1

Si vous utilisez un système de gestion de contenu, réinstallez tous les fichiers par défaut/de base fournis avec votre système CMS. Vous serez ainsi certain que ces fichiers sont exempts de tout contenu piraté. Pour connaître la procédure de réinstallation, saisissez "réinstaller" et le nom de votre système de gestion de contenu dans la recherche Google. Si vous disposez de plug-ins, de modules, d'extensions ou de thèmes, veillez à les réinstaller également.

La réinstallation des fichiers par défaut peut vous faire perdre certaines personnalisations. Pensez à créer une sauvegarde de votre base de données et de tous les fichiers avant de procéder à la réinstallation.

Étape 2

Les pirates modifient souvent votre sitemap ou en ajoutent d'autres pour que leurs URL soient indexées plus rapidement. Si vous possédiez un fichier sitemap, vérifiez s'il contient des liens suspects et supprimez ces liens, le cas échéant. Si vous trouvez des fichiers de sitemap que vous ne vous souvenez pas avoir ajoutés à votre site, vérifiez-les et supprimez-les s'ils ne contiennent que des URL de spam.

Étape 3

Recherchez les autres fichiers malveillants ou infectés. Même si vous pensez avoir déjà supprimé tous les fichiers malveillants au cours des deux étapes précédentes, il est préférable de suivre la procédure ci-dessous dans le cas où votre site comporterait d'autres fichiers infectés.

Rassurez-vous, vous ne serez pas obligé d'ouvrir chacun des fichiers PHP. Commencez par répertorier les fichiers PHP suspects que vous souhaitez examiner. Les méthodes suivantes vous permettront de les identifier :

  • Puisque vous avez déjà rechargé vos fichiers CMS, vérifiez uniquement les fichiers qui ne font pas partie de vos fichiers ou dossiers CMS par défaut. Vous pourrez ainsi éliminer un grand nombre de fichiers PHP. Il ne vous restera alors plus qu'un petit nombre de fichiers à examiner.
  • Triez les fichiers de votre site en fonction de leur date de dernière modification. Recherchez les fichiers qui ont été modifiés quelques mois avant la découverte du piratage de votre site.
  • Triez les fichiers de votre site par taille. Recherchez les fichiers exceptionnellement volumineux.

Remarque : Les attaquants injectent généralement des scripts dans les fichiers index.php, wp-load.php, 404.php et view.php.

Étape 4

Après avoir identifié les fichiers PHP suspects, vérifiez s'ils sont malveillants. Si vous n'êtes pas habitué au langage PHP, cette procédure sera plus fastidieuse. Prenez donc le temps de parcourir la documentation PHP au préalable. Si vous êtes novice en codage, nous vous recommandons de demander de l'aide. En attendant, vous pouvez tout de même rechercher certains modèles de base afin d'identifier les fichiers malveillants.

Si vous utilisez un CMS et si vous n'avez pas l'habitude d'éditer ces fichiers directement, comparez les fichiers sur votre serveur à une liste des fichiers par défaut livrés avec le CMS, ainsi que des plug-ins et des thèmes. Recherchez les fichiers qui n'appartiennent pas à cette liste, ainsi que ceux dont la taille semble plus importante que leur valeur par défaut.

Recherchez des blocs de code obscurs dans les fichiers suspects identifiés. Cela peut ressembler à un mélange de lettres et de chiffres. Un tel code est généralement précédé d'une combinaison de fonctions PHP comme base64_decode, rot13, eval, strrev et gzinflate. Parfois, ces fonctions sont également obscurcies. Voici un exemple de ce à quoi pourrait ressembler un tel bloc de code. Parfois, ce code apparaît dans une longue ligne de texte. Il semble donc plus petit qu'il ne l'est en réalité.

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Vérifier si votre site est propre

Une fois que les fichiers piratés ont été supprimés, vérifiez si votre travail est concluant. Vous rappelez-vous les pages vides de sens identifiées précédemment ? Utilisez à nouveau l'outil Explorer comme Google sur ces pages pour vérifier si elles existent encore. Si ces pages sont indiquées comme inexistantes dans cet outil, il y a de fortes chances pour que votre site soit nettoyé.

Vous pouvez également suivre les étapes de l'outil de dépannage pour les sites piratés pour vérifier si votre site contient encore du contenu piraté.

Comment ne plus être piraté ?

Pour finir de nettoyer votre site, il est indispensable d'en corriger les failles. Une étude récente a permis de constater que 12 % des sites piratés font l'objet d'un nouveau piratage dans les 30 jours. Il est très utile de savoir exactement comment votre site a été piraté. Pour commencer vos recherches, lisez notre guide consacré aux principales méthodes de piratage des sites Web par les spammeurs. Si vous ne parvenez pas à savoir comment votre site a été piraté, reportez-vous à la liste ci-dessous pour apprendre à réduire le nombre de vulnérabilités sur votre site.

  • Analysez régulièrement votre ordinateur : utilisez un antivirus de confiance pour rechercher les virus ou les vulnérabilités.
  • Modifiez régulièrement vos mots de passe : modifiez régulièrement les mots de passe de tous vos comptes de site Web, comme votre fournisseur d'hébergement, votre FTP et votre CMS, afin d'empêcher tout accès non autorisé à votre site. Il est important de créer un mot de passe sécurisé et unique pour chaque compte.
  • Utilisez l'authentification à deux facteurs (2FA) : pensez à activer ce type d'authentification sur tous les services qui nécessitent une connexion. Avec ce type d'authentification, les pirates informatiques ont plus de difficultés à se connecter, même s'ils réussissent à dérober votre mot de passe.
  • Mettez régulièrement à jour votre système de gestion de contenu, les plug-ins, les extensions et les modules : vous devez normalement déjà avoir effectué cette étape. De nombreux sites sont piratés parce que des logiciels obsolètes y sont exécutés. Certains CMS acceptent la mise à jour automatique.
  • Pensez à vous abonner à un service de sécurité pour surveiller votre site : de nombreux services très performants peuvent vous aider à surveiller votre site moyennant des frais modiques. Pensez à vous enregistrer auprès de ces services afin de protéger votre site.

Ressources supplémentaires

Si vous avez toujours des difficultés à nettoyer votre site, reportez-vous aux ressources supplémentaires suivantes.

Ces outils analysent votre site et sont en mesure de détecter des contenus problématiques. Hormis VirusTotal, nous ne gérons aucun de ces outils et nous n'en sommes pas non plus responsables.

VirusTotal, Aw-snap.info, Sucuri Site Check et Quttera : ces outils (entre autres) sont susceptibles de rechercher des contenus problématiques sur votre site. N'oubliez pas que ces analyseurs n'identifieront pas forcément tous les types de contenus problématiques.

Les ressources supplémentaires Google suivantes pourront vous aider :