Dans la plupart des cas, le cryptojacking se produit lorsqu’un logiciel malveillant est installé sur un ordinateur ou un réseau à l’insu de l’utilisateur. Ce logiciel malveillant s’exécute en arrière-plan et utilise les ressources du système, telles que la puissance de traitement du processeur et la carte graphique, pour effectuer des calculs complexes nécessaires à l’extraction de cryptomonnaies. Le pirate qui a initié l’attaque récupère les cryptomonnaies générées, souvent des monnaies telles que le Bitcoin ou le Monero.

Le cryptojacking peut se produire de différentes manières. Par exemple, les pirates peuvent infecter des sites web populaires en injectant du code malveillant dans leurs pages, de sorte que lorsqu’un utilisateur visite le site, le code commence à s’exécuter en arrière-plan et utilise les ressources de l’ordinateur de l’utilisateur pour miner des cryptomonnaies. Les pirates peuvent également utiliser des campagnes de phishing ou envoyer des pièces jointes infectées par e-mail pour propager le logiciel malveillant.

Les conséquences du cryptojacking peuvent être multiples. L’utilisation non autorisée des ressources informatiques peut ralentir les performances de l’ordinateur ou du réseau, entraînant des temps de réponse plus longs et une surchauffe du matériel. De plus, le coût énergétique associé à l’extraction de cryptomonnaies peut entraîner une augmentation de la consommation d’électricité et des factures d’énergie élevées.

Pour se protéger contre le cryptojacking, il est essentiel de maintenir à jour les logiciels de sécurité, d’utiliser des solutions antivirus et de sécurité efficaces, d’éviter de télécharger des logiciels provenant de sources non fiables et de faire preuve de prudence lors de la navigation sur Internet.

Comment ces pirates arrivent à infecter un serveur ou des sites web ?

Les pirates utilisent différentes méthodes pour infecter des serveurs ou des sites web. Voici quelques-unes des techniques couramment utilisées :

1. Vulnérabilités logicielles : Les pirates recherchent des vulnérabilités connues dans les logiciels utilisés sur les serveurs web ou les sites web, tels que les gestionnaires de contenu (comme WordPress, Joomla, Drupal), les serveurs web (comme Apache, Nginx) ou les plugins et les extensions. S’ils identifient une vulnérabilité non corrigée, ils peuvent l’exploiter pour accéder au serveur ou au site web et y injecter un code malveillant.

2. Injection de code : Les attaquants peuvent utiliser des techniques d’injection de code, telles que l’injection SQL, pour insérer du code malveillant dans les bases de données ou les formulaires de saisie présents sur un site web. Lorsque le code est exécuté, il permet aux pirates d’accéder au serveur ou au site web et d’y installer des logiciels malveillants.

3. Attaques par force brute : Les pirates peuvent utiliser des outils automatisés pour tenter de deviner les mots de passe d’administration ou d’autres informations d’identification sur un serveur ou un site web. Ils essaient différentes combinaisons jusqu’à ce qu’ils réussissent à accéder au système.

4. Pièces jointes infectées par e-mail : Les pirates peuvent envoyer des e-mails contenant des pièces jointes malveillantes aux utilisateurs du serveur ou du site web. Lorsque les pièces jointes sont ouvertes, elles peuvent infecter l’ordinateur de la victime, permettant ainsi aux pirates d’accéder aux informations d’identification ou aux données du serveur.

5. Scripts malveillants : Les pirates peuvent injecter des scripts malveillants dans des fichiers JavaScript ou HTML sur un site web. Lorsque les utilisateurs visitent le site, ces scripts sont exécutés dans leur navigateur et peuvent être utilisés pour exploiter des vulnérabilités dans le navigateur ou pour rediriger les utilisateurs vers des sites web malveillants.

Pour se protéger contre ces attaques, il est essentiel de maintenir tous les logiciels à jour avec les derniers correctifs de sécurité, de configurer des mots de passe forts et uniques pour les comptes d’administration, d’utiliser des pare-feu et des systèmes de détection d’intrusion, ainsi que des solutions de sécurité web pour scanner les sites web à la recherche de vulnérabilités connues. La sensibilisation à la sécurité et la formation des utilisateurs sur les bonnes pratiques en matière de sécurité informatique sont également importantes pour réduire les risques d’infection.

Comment savoir si mon serveur a été piraté ?

Il peut être difficile de détecter si votre serveur a été compromis par du cryptojacking, car les attaquants cherchent souvent à rester discrets. Cependant, voici quelques signes qui pourraient indiquer une possible infection par du cryptojacking :

1. Ralentissement des performances : Si votre serveur semble beaucoup plus lent que d’habitude, cela peut être un signe que des ressources sont utilisées pour miner des cryptomonnaies en arrière-plan. L’extraction de cryptomonnaies nécessite une puissance de calcul importante, ce qui peut entraîner des ralentissements dans les performances du serveur.

2. Utilisation élevée du processeur : Surveillez l’utilisation du processeur de votre serveur. Si vous remarquez une utilisation anormalement élevée et constante du processeur, cela peut être le résultat de l’exécution de scripts de minage de cryptomonnaies.

3. Consommation excessive de la bande passante : L’extraction de cryptomonnaies peut nécessiter des communications constantes entre le serveur compromis et le réseau du pirate. Si vous remarquez une utilisation anormale ou une augmentation de la consommation de la bande passante, cela peut être le résultat d’un cryptojacking.

4. Augmentation de la facture d’électricité : L’extraction de cryptomonnaies est un processus intensif en énergie. Si vous constatez une augmentation significative de votre facture d’électricité sans raison apparente, cela peut indiquer que votre serveur est utilisé pour le cryptojacking.

5. Surveillance de l’activité du réseau : Vous pouvez utiliser des outils de surveillance du réseau pour détecter des schémas de trafic inhabituels ou des communications suspectes avec des adresses IP inconnues. Cela peut indiquer une tentative d’extraction de cryptomonnaies.

6. Analyse des fichiers journaux : Consultez les fichiers journaux de votre serveur pour détecter des activités anormales, telles que des tentatives d’accès infructueuses, des erreurs de fichiers ou des modifications suspectes.

Quel types de fichiers rechercher sur les sites ou le serveur ?

Voici ce que j’ai trouvé comme fichiers à la racine des sites du serveur qui a été attaqué :

Les fichiers de spip sont ok, tous les autres n’avaient rien à faire là.

Sur ordinateur :

et sur l’antimalware Imunify du serveur :

26 juin 2023 17:38 insert_drive_file /home/xxxxxx/monsite.com/SfKkAAux.php

Et même des fichiers .htaccess avaient été modifié, il faut regarder vers le bas, avec une interdiction d’accéder au site par le site même par exemple... j’ai tourné en boucle un bon moment avant de le voir lol !

Que faire en cas d’attaque de cryptojacking ?

Si vous suspectez une infection par du cryptojacking, il est recommandé de prendre les mesures suivantes :

1. Mettez à jour tous les logiciels et les systèmes d’exploitation avec les derniers correctifs de sécurité.

2. Analysez votre serveur à l’aide d’un logiciel antivirus et antimalware pour détecter et supprimer les logiciels malveillants.

3. Examinez attentivement les fichiers et les processus en cours d’exécution sur votre serveur pour identifier toute activité suspecte.

4. Renforcez la sécurité de votre serveur en utilisant des pare-feu, des systèmes de détection d’intrusion et des solutions de sécurité appropriées.

Si vous avez des doutes sur la présence de cryptojacking sur votre serveur, il est recommandé de consulter un professionnel de la sécurité informatique pour effectuer une analyse approfondie et prendre les mesures nécessaires pour éliminer la menace.

Ce que j’ai fait pour me débarrasser de ces pirates :

Pour ma part, il y avait ce type de fichier à la racine de tous les sites du serveur. Il a fallut repartir de zéro, au passage j’en ai profité pour faire un changement de version de php de 7.4 à 8.0, passer tous les CMS dans les dernières versions en ayant bien sur supprimé tous les anciens fichiers, une install propre de A à Z. Refaire et sécuriser tous les formulaires.
Les bases de données n’ont pas été attaquées mais de nombreux fichier sur les sites avaient disparu ce qui les avaient mis hors service. Quelque part heureusement, cela a permis de se rendre compte qu’il y avait un soucis. Sans doute pas seulement du cryptojacking car normalement ils se montrent discrets pour ne pas éveiller les soupçons.

Voilà, bon courage si vous êtes victime de cette attaque... ^^ je compatis...