Un organisme gouvernemental a envoyé à l'administrateur de notre site Web un e-mail l'informant que notre site Web avait été effacé.

Une tâche CERT ( Computer Emergency Response Team ) consiste précisément à surveiller les problèmes de sécurité sur les actifs sous leur circonscription.

Dans le cas des CERT nationaux comme le CERT-AU, ils se soucient souvent de tout ce qui est hébergé sur leur pays, et s'ils sont informés d'un problème, leur tâche serait de contacter le propriétaire affecté afin qu'il puisse résoudre le problème (comme ils l'ont fait dans ce cas). Ils auraient également pu vous fournir des conseils au cas où vous en auriez eu besoin pour trouver le problème.

Ces services sont gratuits pour le peuple (ils sont une agence gouvernementale), et ils ne vous demanderont aucun type de paiement pour vous avoir notifié.

Une liste complète des services CERT-AU est disponible sur https://cert.gov.au/services

La

La façon de vous fournir l'URL sous hXXp: //domain.com [.] Au/s.htm est une méthode assez courante de partage d'URL malveillantes. L'objectif est que vous receviez l'URL (dont vous aurez besoin pour savoir où se trouve le contenu malveillant) mais en même temps minimisez le risque que vous puissiez l'ouvrir par inadvertance dans le mauvais environnement ou avant de lire l'intégralité de l'e-mail ( en outre, cela permet également d'éviter les filtres d'e-mails qui suppriment les e-mails contenant des URL malveillantes¹).

La

Il existe de nombreuses sources dont ils peuvent avoir connaissance de cet incident:

• Une personne les a informés
• Une autre CERT ou société de sécurité les a informés
• Il figurait sur une liste de sites compromis auxquels ils étaient abonnés
• Il est apparu sur un forum de défiguration qu'ils regardaient (comme zone-h)
• Ils l'ont trouvé lors d'une autre enquête

La

Parmi les avantages de l'envoi des notifications via le CERT figurent:

• Lorsqu'il existe plusieurs sites compromis, il est beaucoup plus facile de notifier une seule entité par pays qu'à chaque opérateur de site Web¹
• Le CERT aura souvent une procédure pour réessayer au cas où il aurait été ignoré par l'administrateur. Un tiers ne ferait probablement qu'une tentative.
• Le CERT peut avoir de meilleurs contacts pour envoyer la notification.
• En tant que partie neutre, le CERT est plus susceptible de prêter attention à²
• Pas de barrière linguistique: le CERT doit pouvoir contacter le propriétaire du site dans sa langue maternelle.
• Le CERT aura des techniciens capables de comprendre facilement le problème et d'expliquer cela, si nécessaire, au propriétaire du site Web (qui peut lui-même n'avoir aucune connaissance).

La

Une liste des CERT mondiaux (publics et privés) est disponible sur First: https://first.org/members/teams

Une base de données des CERT européens et des équipes de sécurité est également disponible sur Trusted Introducer .

La

¹ Par exemple, Google trouve chaque jour de nombreuses URL malveillantes détectées lors de leur exploration, au lieu d'essayer de les signaler directement au propriétaire, il les partage avec le CERT national concerné afin qu'il puisse s'occuper de la notification.

² Imaginez simplement que cette question soit "un gars choisi au hasard à partir d'une adresse hotmail a envoyé notre administrateur…"

À moins qu'ils ne vous le disent dans la lettre, il n'y a aucun moyen de savoir comment ils ont été informés du piratage. Il est probable que quelqu'un ait signalé un problème, une attaque ou une sonde quelconque au CERT, et qu'il a ensuite pu retracer l'origine du dos à l'adresse IP de votre serveur.

Je vous recommande au moins de poursuivre votre enquête; mais pensez à engager une entreprise de sécurité. Il y a beaucoup à faire à ce stade d'une attaque, à part comprendre ce qui s'est passé. Vous devrez peut-être conserver des preuves, vous devrez récupérer vos systèmes, vous devrez peut-être fournir des notifications de violation, vous devrez peut-être que votre clientèle change ses mots de passe; toutes sortes d'activités peuvent découler d'une violation, et un professionnel vous guidera à travers tout cela.

Sans voir les en-têtes des e-mails, il n'y a aucun moyen pour nous d'en être sûr, mais il sons plus probable que l'avis par e-mail était le hameçonnage, comme le dit Jimmy James ci-dessus. Il est beaucoup plus facile pour l'attaquant qui y a placé le fichier de le savoir et de vous le "signaler" "officiellement" pour vous faire cliquer dessus. CSRF semble être la tentative la plus probable en cours. L'attaquant n'a aucun moyen de savoir que la personne à qui il l'a envoyé n'avait pas d'informations d'identification sur le site, mais comme vous l'avez souligné, il vous a transmis le courrier électronique, qui en a un. Je ne dis pas que cela a réussi, mais la réponse à "Comment savaient-ils" semble-t-elle très probablement être "Ils ne l'ont pas fait, et la notification a été truquée".

Que fait ce site Web? Héberge-t-il des comptes ou accepte-t-il les cartes de crédit?

Le fichier doit être considéré comme un signe clair que vous avez bien été compromis. Vous ne connaissez pas l'étendue ou le vecteur d'attaque, mais le fichier peut bien être un "indicateur" qu'un bot recherche pour déterminer que le serveur est toujours compromis.

Veillez donc à conserver les sauvegardes et à conserver les horodatages, les journaux du serveur Web et les sauvegardes elles-mêmes. Revenez à votre première sauvegarde et voyez si le fichier est là, comparez également le contenu du site avec le contenu attendu.

Recherchez également dans vos journaux les demandes à s.htm fichier. Vous pouvez trouver un réseau de bots qui vérifie de temps en temps que les lumières sont allumées. Il y a une chance étrange que vous puissiez utiliser les informations IP que vous y trouvez pour rechercher d'autres trafics - ce qui peut révéler les traces de l'attaque.

En attendant, contactez l'expéditeur de l'e-mail - assurez-vous de rechercher ses coordonnées auprès d'une source officielle et non de l'e-mail lui-même. J'ai reçu des notifications similaires de la part des hébergeurs, ils peuvent également rechercher le fichier s'il s'agit d'un ordinateur connu pour indiquer une machine compromise.

Ce serait un bon moyen d'hameçonner quelqu'un quand vous pourriez pirater son site "un peu".

Il suffit d'écrire un fichier bénin sur leur serveur, puis de les contacter et d'engager une conversation avec leur "Tech" gouvernemental. À ce stade, si vous n'étiez pas méfiant, ils pourraient probablement vous demander de faire quoi que ce soit et vous le feriez.

Je me rends compte que vous n'avez pas dit qu'ils vous avaient demandé de les contacter ou quoi que ce soit, alors peut-être pas, mais j'aime toujours me tromper du côté de la paranoïa.

Je pense vraiment que c'est une attaque de phishing.

Cependant, il est également possible pour les agences CERT d'obtenir une liste de sites piratés via des miroirs deface, tels que Zone-H . Mais je ne vois pas pourquoi ils le feraient.