Comment identifier un hack sur un site Drupal ?

Pour identifier rapidement des hacks potentiels dans les fichiers d'un site Drupal, vous pouvez utiliser une série de commandes grep pour rechercher des motifs courants de code malveillant. Voici quelques commandes utiles :

Recherche de fonctions courantes utilisées dans les hacks PHP :

grep -r --include="*.php" 'eval(' /path/to/drupal
grep -r --include="*.php" 'base64_decode(' /path/to/drupal
grep -r --include="*.php" 'shell_exec(' /path/to/drupal
grep -r --include="*.php" 'exec(' /path/to/drupal
grep -r --include="*.php" 'system(' /path/to/drupal
grep -r --include="*.php" 'passthru(' /path/to/drupal
grep -r --include="*.php" 'popen(' /path/to/drupal
grep -r --include="*.php" 'proc_open(' /path/to/drupal

Recherche de chaînes encodeées en base64 :

grep -r --include="*.php" 'base64_' /path/to/drupal

Recherche de code obfusqué :

grep -r --include="*.php" 'gzuncompress(' /path/to/drupal
grep -r --include="*.php" 'str_rot13(' /path/to/drupal
grep -r --include="*.php" 'gzinflate(' /path/to/drupal

Recherche de tentatives de connexion à distance :

grep -r --include="*.php" 'fsockopen(' /path/to/drupal
grep -r --include="*.php" 'pfsockopen(' /path/to/drupal
grep -r --include="*.php" 'curl_exec(' /path/to/drupal

Recherche de modèles de commentaires de hackers courants :

grep -r --include="*.php" 'Hacked by' /path/to/drupal
grep -r --include="*.php" 'r57shell' /path/to/drupal
grep -r --include="*.php" 'c99shell' /path/to/drupal

Recherche de directives PHP suspectes :

grep -r --include="*.php" 'php_uname(' /path/to/drupal
grep -r --include="*.php" 'get_current_user(' /path/to/drupal

Recherche de fichiers récemment modifiés :

find /path/to/drupal -type f -name '*.php' -mtime -7

Recherche de fichiers contenant des caractères hexadécimaux :

grep -r --include="*.php" '[\\][x][0-9A-Fa-f][0-9A-Fa-f]' /path/to/drupal

Ces commandes grep devraient vous permettre de détecter rapidement des anomalies dans les fichiers de votre site Drupal. Il est également recommandé de vérifier les fichiers qui ne devraient pas être présents dans l'installation par défaut, comme les fichiers .php dans les répertoires de téléchargement (par exemple, sites/default/files).

Pour aller plus loin : faire un scan antivirus

L'utilisation de ClamAV, un antivirus open source, est une solution efficace pour scanner et détecter les menaces potentielles. Voici un guide rapide sur l'installation et l'utilisation de ClamScan, l'outil en ligne de commande de ClamAV, sur votre serveur Drupal.

Sur une distribution basée sur Debian ou Ubuntu, vous pouvez installer ClamAV en utilisant la commande suivante :

sudo apt-get update
sudo apt-get install clamav clamav-daemon

Après l'installation, il est crucial de mettre à jour la base de données de définitions de virus de ClamAV pour garantir une protection optimale :

sudo freshclam

Pour scanner un répertoire, utilisez la commande suivante. Par exemple, pour scanner le répertoire de votre site Drupal :

sudo clamscan -r /chemin/vers/votre/drupal

Si vous souhaitez que ClamScan supprime automatiquement les fichiers infectés après détection, utilisez l'option --remove :

sudo clamscan -r --remove /chemin/vers/votre/drupal

Pour enregistrer les résultats du scan dans un fichier de log pour une analyse ultérieure, utilisez l'option --log :

sudo clamscan -r /chemin/vers/votre/drupal --log=/chemin/vers/log/clamscan.log

Pour une protection continue, vous pouvez intégrer ClamAV directement avec Drupal en utilisant le module ClamAV. Ce module permet de scanner automatiquement les fichiers téléchargés via l'interface Drupal, ajoutant une couche supplémentaire de sécurité à votre site.

Téléchargez et activez le module via l'interface de gestion des modules ou utilisez Drush :

drush en clamav -y

Allez dans la configuration du module ClamAV (admin/config/media/clamav) et assurez-vous que les chemins vers ClamScan et FreshClam sont correctement définis. Configurez les paramètres selon vos besoins pour automatiser les scans des fichiers téléchargés.

En suivant ces étapes, vous pouvez améliorer la sécurité de votre site Drupal en détectant et en supprimant les logiciels malveillants de manière proactive.