Ce matin, vous découvrez avec stupeur que Google (via Chrome, Firefox ou Safari par exemple) bloque l'accès à votre site avec un message qui annonce à vos visiteurs que votre site est considéré comme "malveillant". Un bouton incite les internautes à "sortir d'ici" le plus promptement possible.

Logiciel malveillant

Pas besoin de vous décrire les effets catastrophiques d'un tel message pour votre image, votre trafic et pour vos ventes liées à Internet.

Que faire pour rétablir son site de toute urgence ? Quelle est l'origine de ce problème ?

Cet article nous a été inspiré par la mésaventures de plusieurs entrepreneurs qui nous ont appelés à l'aide suite l'infection de leur site par un tel "malware". La première fois, nous avons mis du temps pour trouver les bonnes mesures à prendre (et surtout pour les prendre dans le bon ordre). Pour les cas suivants, en moins de 24 heures, tout était rétabli. OUF !

1) Trouver l'origine de l'infection

Les cas que nous avons rencontrés étaient liés à l'infection de l'ordinateur du webmaster par un Trojan. Celui-ci parvient à lire les codes d'accès FTP encodés dans le logiciel FileZilla.

Il est donc impératif, avant toute autre action, de scanner entièrement votre disque dur avec un BON anti-virus (avec une version à jour). Personnellement, je suis passée à Avast (version gratuite) qui ne manque pas un seul de ces sales petits mouchards.

Procédez de même avec toutes les personnes disposant d'un accès FTP à votre site.

2) Modifier le mot de passe FTP du site

Si le Trojan, virus, espion, mouchard ou autre agent contaminateur n'a pas été supprimé de votre ordinateur, cette étape est inutile : dès que vous utiliserez à nouveau FileZilla, votre nouveau mot de passe sera à nouveau volé, et utilisé pour contaminer à nouveau votre site.

Le mot de passe FTP se modifie auprès de votre hébergeur, soit par simple demande par mail, soit directement dans la console d'administration.

3) Supprimer les fichiers infectés

Le Trojan agit de plusieurs manières :

- soit il ajoute des lignes de code dans vos pages sans en modifier l'apparence (ex : des liens vers des sites, des scripts php, voir ci-dessous)
- soit il ajoute des fichiers sur votre serveur générant le téléchargement et l'installation de programmes malveillants chez votre visiteur, GLOUPS

Logiciel malveillant

Si vous disposez d'un back-up du site, je recommande d'en effacer immédiatement tous les fichiers sur le serveur et de le remettre en ligne sur base du back-up. Au moins, vous n'oublierez aucun fichier contaminé dans un coin de sous-répertoire.

Pour une approche plus chirurgicale, consultez Google qui vous indiquera plus précisément les fichiers infectés via ses Outils pour webmasters (via diagnostics > logiciels malveillants).

En vous connectant par FTP, vous pourrez également repérer les fichiers modifiés récemment (par le Trojan). Attention à vérifier dans tous les sous-répertoires ainsi que parmi les fichiers qui ne sont pas en HTML (.htaccess, autres extensions bizarres).

4) Facultatif : prévenir votre hébergeur

Par acquis de concience, j'ai prévenu l'hébergeur du problème constaté sur le site. Ce dernier a très bien réagi, et n'a même pas menacé mon client de banissement de ses serveurs (OUF !).

Le service technique de l'hébergeur a en effet observé "une multitude de connexions ftp avec des ip différentes telles que celle de la Chine ou autre pays". Et m'a donné quelques pistes pour trouver une solution. Sympa !

5) Indispensable : prévenir Google

Dès que le grand nettoyage est fait, revenez aux outils Google pour webmasters et demandez un réexamen de votre site par Google. N'hésitez pas à ajouter un petit mot expliquant que vous avez supprimé tous les fichiers infectés sur le serveur et modifié le code FTP pour éviter toute nouvelle contamination. Il aime bien ça, Google.

Si tout va bien, votre site sera à nouveau accessible dans les 48 heures et le message suivant remplacera les avertissements dans les outils pour webmasters.

Aucun logiciel malveillant, OUF !

Vous pourrez ensuite contrôler rapidement que tout va bien via une requête sur http://www.google.com/safebrowsing/diagnostic?site=www.monsite.com (à remplacer par votre URL).

En savoir plus :