Il est 22h46, je termine tranquillement la mise à jour du module de télémaintenance quand je reçois le message suivant :

votre espace web subit une attaque

Il y a quelques minutes, notre scanner antivirus a signalé qu'un fichier
nuisible a été chargé sur votre espace web.

Nom du fichier : blablabla...

Afin de vous protéger contre de dangereuses attaques de pirates, le scanner
antivirus contrôle chaque fichier qui est chargé ou modifié sur votre espace
web. Si un fichier présente des caractéristiques claires d'attaque, il est
automatiquement désactivé.

Après avoir fait 2 fois le tour de mon bureau en criant les bras levés, je me suis rassis afin de contre-attaquer.

• Étape 1  : Supprimer le p*^$! de fichier
• Étape 2  : Vérification des versions du CMS : V 1.11.4 au lieu de 1.11.9 … ça va .. je ne suis pas tant à la ramasse . sauvegarde de la base, upload des fichiers et c’est parti pour l’upgrade!
• Étape 3  :  petite modification pour rendre les prochaines attaques plus difficiles :
  • Renommage du répertoire d’administration ( Un peu de sécurité par obscurantisme ne fait pas de mal 😉 )
  • Ajout du couple .htaccess / .htpasswd dans le répertoire
  • Suppression du droit d’écriture sur les fichiers sensibles.
• Étape 4  : analyse des logs pour faire un peu d’investigation numérique . 

Avec tout ça, j’ai fini sur un bon 0h30, mais grandi d’une nouvelle expérience.

Si vous avez d’autres conseils, n’hésitez pas à me les écrire sur les commentaires …