Security

Webshells PHP sur Linux : évasion via cookies

3 min de lecture

Résumé

Microsoft avertit que des acteurs malveillants utilisent des cookies HTTP pour contrôler des webshells PHP dans des environnements d’hébergement Linux, permettant au code malveillant de rester inactif tant que certaines valeurs de cookie ne sont pas présentes. Cette technique réduit la visibilité dans les journaux courants, favorise la persistance via des tâches cron et souligne la nécessité d’un monitoring renforcé, d’une meilleure protection web et d’une détection endpoint sur les charges de travail Linux hébergées.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a publié de nouvelles recherches sur une technique furtive de webshell PHP affectant les environnements d’hébergement Linux. Au lieu d’utiliser des paramètres d’URL évidents ou des corps de requête, les attaquants utilisent des cookies HTTP comme canal de déclenchement et de contrôle pour l’exécution malveillante, ce qui rend ces webshells plus difficiles à repérer dans le trafic web normal et les journaux applicatifs.

Pour les équipes de sécurité et les administrateurs qui gèrent des applications web hébergées sur Linux, cela est important, car cette technique permet une persistance discrète, une activation différée et un accès post-compromission plus furtif.

Nouveautés

Microsoft a observé plusieurs variantes de webshell PHP qui reposent toutes sur une exécution conditionnée par des cookies :

  • Activation contrôlée par cookie : Le webshell reste inactif à moins que l’attaquant n’envoie des valeurs de cookie spécifiques.
  • Obfuscation multicouche : Certaines variantes reconstruisent dynamiquement des fonctions PHP et la logique d’exécution au moment de l’exécution afin d’éviter la détection statique.
  • Préparation de la charge utile : Plusieurs échantillons reconstruisent et écrivent des charges utiles secondaires sur le disque uniquement lorsque les conditions de cookie requises sont remplies.
  • Comportement interactif de webshell : Les versions les plus simples utilisent un seul cookie comme clé pour activer l’exécution de commandes ou le téléversement de fichiers.
  • Persistance via cron : Dans un cas étudié, les attaquants ont utilisé des workflows légitimes du panneau de contrôle d’hébergement pour enregistrer des tâches planifiées qui recréaient le chargeur PHP malveillant s’il était supprimé.

Pourquoi c’est plus difficile à détecter

Les cookies font souvent l’objet de moins de contrôle que les chemins de requête, les chaînes de requête ou les corps POST. En PHP, les valeurs de cookie sont directement accessibles via $_COOKIE, ce qui en fait un canal d’entrée pratique pour les attaquants. Combiné à l’obfuscation et au déploiement progressif des charges utiles, cela permet à des fichiers malveillants de paraître inertes dans le trafic normal et de ne s’activer que lors d’interactions délibérées de l’attaquant.

Impact pour les administrateurs et les défenseurs

Pour les administrateurs IT et sécurité, le risque principal est une exécution de code à distance persistante dans un compte d’hébergement compromis, même sans accès de niveau root. Dans des environnements d’hébergement mutualisé ou avec shell restreint, les attaquants peuvent encore disposer de permissions suffisantes pour :

  • Modifier le contenu web
  • Déployer des chargeurs PHP
  • Recréer des malwares supprimés via des tâches cron
  • Maintenir un accès à long terme avec une empreinte minimale dans les journaux

Cela peut compliquer la remédiation, en particulier lorsqu’une tâche planifiée « auto-réparatrice » restaure le webshell après le nettoyage.

Prochaines étapes recommandées

Les administrateurs doivent examiner les recommandations de Microsoft et prioriser les actions suivantes :

  • Auditer les applications PHP et les racines web à la recherche de scripts obfusqués suspects
  • Examiner les tâches planifiées et les tâches cron pour détecter des mécanismes de persistance non autorisés
  • Surveiller les modèles de cookies associés à une exécution inhabituelle côté serveur
  • Activer et examiner les détections et analyses de menace de Microsoft Defender XDR
  • Rechercher des fichiers PHP accessibles via le web qui écrivent ou incluent des charges utiles secondaires
  • Renforcer le monitoring de l’intégrité des fichiers et les permissions dans les environnements d’hébergement Linux

Les organisations qui exploitent des charges de travail PHP exposées à Internet doivent également s’assurer que leurs playbooks de réponse à incident incluent des vérifications de persistance cron, la chasse aux webshells basés sur les cookies et une validation de suivi après le nettoyage.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
PHP webshellLinux securityMicrosoft Defender XDRwebshell detectioncron persistence

Articles connexes

Security

Cyberattaques IA : menaces sur toute la chaîne

Microsoft avertit que les acteurs de la menace intègrent désormais l’IA sur l’ensemble du cycle de vie des cyberattaques, de la reconnaissance et du phishing au développement de malware et aux opérations post-compromission. Pour les défenseurs, cela signifie des attaques plus rapides, plus précises, des taux de réussite du phishing plus élevés et un besoin croissant de renforcer les identités, les protections MFA et la visibilité sur les surfaces d’attaque pilotées par l’IA.

Security

Compromission npm Axios : guide de mitigation

Microsoft a averti que les versions malveillantes d’Axios sur npm 1.14.1 et 0.30.4 ont été utilisées dans une attaque de la chaîne d’approvisionnement attribuée à Sapphire Sleet. Les organisations utilisant les packages affectés doivent immédiatement faire une rotation des secrets, revenir à des versions sûres et examiner les postes développeur ainsi que les systèmes CI/CD pour détecter toute compromission.

Security

Préparation sécurité infrastructures critiques 2026

Microsoft indique que le modèle de menace visant les infrastructures critiques est passé d’attaques opportunistes à des accès persistants, pilotés par l’identité, conçus pour perturber ultérieurement les opérations. Pour les responsables IT et sécurité, le message est clair : réduire l’exposition, renforcer l’identité et valider dès maintenant la préparation opérationnelle, alors que la réglementation et l’activité des États-nations s’intensifient.

Security

Fondamentaux de la sécurité IA : guide CISO

Microsoft conseille aux CISO de sécuriser les systèmes d’IA avec les mêmes contrôles de base qu’ils appliquent déjà aux logiciels, aux identités et aux accès aux données. Les recommandations mettent en avant le moindre privilège, les défenses contre l’injection de prompt et l’usage de l’IA elle-même pour détecter les problèmes d’autorisations avant les attaquants ou les utilisateurs.

Security

WhatsApp Malware Campaign Uses VBS and MSI Backdoors

Les experts Microsoft Defender ont mis au jour campagne de fin février 2026 qui utilise des messages WhatsApp pour diffuser des fichiers VBS malveillants, puis installe des packages MSI non signés pour la persistance et l’accès à distance. L’attaque combine ingénierie sociale, utilitaires Windows renommés et services cloud fiables pour échapper à la détection, rendant essentiels les contrôles des endpoints et la sensibilisation des utilisateurs.

Security

Microsoft Copilot Studio face aux risques OWASP IA agentique

Microsoft explique comment Copilot Studio et la disponibilité générale prochaine d’Agent 365 peuvent aider les organisations à traiter le Top 10 OWASP des applications agentiques. Ces recommandations sont importantes, car les systèmes d’IA agentique peuvent utiliser de véritables identités, données et outils, créant des risques de sécurité bien au-delà de simples réponses inexactes.