En tant que webmaster, vous avez déjà été confronté de multiples fois à la question « Mon site est-il vérolé ? Est-ce qu’un virus s’y trouve ? Ai-je des pages infectées qui font la promotion de médicaments visant à guérir les problèmes érectiles des hommes voire qui tentent de vendre des sacs à main de contrefaçon ? ». N’importe quel webmaster sérieux se pose, régulièrement cette question et, systématiquement d’ailleurs, lorsqu’il hérite de la gestion d’un site internet créé par une tierce personne. Pour répondre à ce besoin, une seule arme : un logiciel qui permet de scanner le site, qui scrute chaque chier qui s’y trouve et qui, comme le fait un antivirus, y recherche la présence de certains « mots-clefs ». Ainsi, par exemple, la présence du mot « viagra » sera recherchée dans vos chiers et le chier qui le mentionne sera repris dans une liste de chiers « suspects » c’est-à-dire de chiers que vous pourrez analyser manuellement lorsque le scanner aura terminé son action. aeSecure Quick Scan est un outil gratuit, écrit en php et utilisant une interface moderne (Bootstrap, jQuery et Ajax) qui permet ce type de scan profond.
Pour répondre à ce besoin, une seule arme : un logiciel qui permet de scanner le site, qui scrute chaque fichier qui s’y trouve et qui, comme le fait un antivirus, y recherche la présence de certains « mots-clefs ». Ainsi, par exemple, la présence du mot « viagra » sera recherchée dans vos fichiers et le fichier qui le mentionne sera repris dans une liste de fichiers « suspects » c’est-à-dire de fichiers que vous pourrez analyser manuellement lorsque le scanner aura terminé son action.
aeSecure Quick Scan est un outil gratuit, écrit en php et utilisant une interface moderne (Bootstrap, jQuery et Ajax) qui permet ce type de scan profond.
Comment cela fonctionne ?
En langage php, la présence des mots base64_decode, gzinflate ou encore gzuncompress p.ex. peuvent indiquer un code suspect : soit parfaitement légitime soit malsain.
Il s’agit d’un logiciel (un script php) que vous pouvez télécharger sur le site de son auteur aeSecure et que vous placez à la racine de votre site internet. Une fois envoyé par FTP sur votre site, vous y accéderez par l’URL http://votresite/aesecure_quick_scan.php.
Une interface, claire et particulièrement simple, s’affichera et vous prendra par la main : vous aurez l’opportunité de vider le cache de votre site puis de lancer une recherche des fichiers qui seront, dans un troisième temps, scanné et analysé.
Afin d’aider à évaluer si le fichier est un virus ou pas, si plusieurs mots clefs y sont détectés, aeSecure Quick Scan va en afficher chaque occurrence.
Le scan d’un site pouvant être une opération longue (comptez quelques dizaines de secondes pour un site de 1.000 fichiers) ; tout au long du scan Quick Scan affiche une barre de progression rendant facile le suivi de ce scan.
Au terme de ce dernier s’affichera une liste des fichiers suspects. Chaque mot clef trouvé sera affiché dans son « contexte » c’est-à-dire que vous pourrez voir la portion de code où se situe le mot trouvé. Vous verrez aussi apparaître la position (l’offset) du mot dans le fichier et une explication relative à la dangerosité du mot clef.
Vous verrez également apparaître trois boutons :
- Voir le code source pour ouvrir un nouvel onglet dans le navigateur ; onglet qui reprendra le code source du fichier : il s’agit du code tel que vous le verriez si vous aviez ouvert le fichier grâce à votre client FTP et non le code HTML généré. Cette fonction « Voir le source » est donc sans danger (pas de risque d’exécuter le virus).
- Marquer le fichier comme sain afin de permettre d’indiquer au scanner que le fichier ne doit plus être mentionné dans un scan ultérieur.
- Supprimer le fichier afin de détruire le fichier de votre serveur (à utiliser à vos risques et périls).
Note : les deux derniers boutons n’apparaissent que si le mode Expert est activé.
Optimisation du scan
Afin de permettre une optimisation du scan, aeSecure Quick Scan va automatiquement détecter si votre site utilise un CMS et si c’est le cas, il va télécharger un fichier d’empreintes qui consiste en une signature MD5 de chaque fichier d’origine du CMS. Fin juillet 2015, toutes les versions des CMS Joomla! et Wordpress sont supportées.
Ce numéro vous plait ? Achetez-le au format PDF !
Vous allez découvrir pêle-mêle et entre autre ; une interview de Yann Gomiero, un historique illustré, une bonne rasade de chiffres ou encore un peu de science-fiction...
Ce fichier d’empreinte va permettre de détecter la version « officielle » et « d’origine » des fichiers du CMS : si vos fichiers, pour la même version du CMS, correspondent aux fichiers d’origine, ils ne seront pas scannés puisque propres et le temps du scan en sera donc plus rapide. Cela permet également de réduire le nombre de « faux positifs ».
Ensuite, toujours pour accélérer le scan, Quick Scan va vous permettre de traiter votre site par « bloc de fichiers » c’est-à-dire 2.500 fichiers à la fois. De cette manière, vous pourrez plus rapidement obtenir les résultats du scan et travailler au fur et à mesure sur la liste obtenue.
Peut-on l’utiliser partout ?
Oui, il s’agit d’un outil indépendant, juste un fichier php que l’on place à la racine de son site internet et qu’on active depuis une URL. aeSecure Quick Scan fonctionne quel que soit le type de site internet (dynamique : Joomla!®, WordPress, Drupal, VTiger, etc. ou statique : HTML).
Dès lors que votre site permet d’exécuter un script php, Quick Scan peut le scanner.
L’outil est mis à disposition gratuitement par l’auteur du logiciel aeSecure qui est le parfait complément de Quick Scan. aeSecure est un pare-feu logiciel qui va analyser toutes les requêtes qui seront envoyées sur votre site et qui permettra de bloquer la majorité de celles détectées comme dangereuses.
aeSecure protège votre site internet mais l’optimise aussi grâce à des fonctions de cache, de minification, … et aeSecure Quick Scan permet de trouver la présence d’éventuels virus ; pour les sites qui n’avaient pas encore été protégés.
