Cheval de troie

Le
Europlac
Bonjour,


Pourriez-vous me dire si mon site internet: www.europlac.eu comporte
un cheval de troie ou autre système malveillant de ce type?
J'ai rencontré des problèmes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait détecté
par un antivirus.
De mon côté j'ai fait des analyses sur mon ordinateur et éliminé le=
s
éléments malveillants. Mais j'aimerai savoir si mon site a vraiment
infecté.

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
vérifier?

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
I N F O R A D I O
Le #21318871

Pourriez-vous me dire si mon site internet: www.europlac.eu comporte
un cheval de troie ou autre système malveillant de ce type?
J'ai rencontré des problèmes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait détecté
par un antivirus.
De mon côté j'ai fait des analyses sur mon ordinateur et éliminé les
éléments malveillants. Mais j'aimerai savoir si mon site a vraiment
infecté.

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
vérifier?

Merci.



pour vérifier, je viens de me connecter en utilisant Filezilla
et le plug-in Noscript et je constate que NOSCRIPT demande
d'autoriser l'accès à :

myworldcampus.ru
et
skycn.com.geocities.ip.google-co-za.myworldcampus.ru:8080

Je ne vois pas trop pourquoi votre entreprise dans le
département 17 aurait besoin de donner l'accès à ces
adresses, en effet...

Cordialement,
Ludovic
http://inforadio.free.fr
Az Sam
Le #21319111
"Europlac"
Bonjour,


Pourriez-vous me dire si mon site internet: www.europlac.eu comporte
un cheval de troie ou autre système malveillant de ce type?
J'ai rencontré des problèmes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait détecté
par un antivirus.
De mon côté j'ai fait des analyses sur mon ordinateur et éliminé les
éléments malveillants. Mais j'aimerai savoir si mon site a vraiment
infecté.

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
vérifier?

__________________________________________________


je dirais oui. Il y a des requetes sur geocities mais je ne suis pas alle
plus loin car
1 - tu utilises une adresse hotmail
2 - tu postes par Google
(Indice de confiance=0)


Tu ne te casses pas la tete. Si ce n'est pas :
- une diffusion usenet de site piege pour attraper des mouches
- une diffusion usenet pour generer du traffic
- le site de quelqu'un d'autre que toi
- de ton fait et que tu soupsconnes un injection de script

==> tu previens ton hebergeur OVH + tu verifies/met en place une protection
htaccess + tu remplace la version en ligne par une sauvegarde + tu
surveilles quotidiennement. (non limitatif d'actions/precautions à prendre)


accessoirement et HS : tu evites le Content-Transfer-Encoding:
quoted-printable sur usenet ce qui dans le cas de ton message signifie
passer par un lecteur de news et PAS par Google.
--
Cordialement,
Az Sam.
Europlac
Le #21319671
On 5 mar, 09:52, "Az Sam"
"Europlac"
Bonjour,

Pourriez-vous me dire si mon site internet:www.europlac.eucomporte
un cheval de troie ou autre syst me malveillant de ce type?
J'ai rencontr des probl mes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait d tect
par un antivirus.
De mon c t j'ai fait des analyses sur mon ordinateur et limin les
l ments malveillants. Mais j'aimerai savoir si mon site a vraiment
infect .

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
v rifier?

__________________________________________________

je dirais oui. Il y a des requetes sur geocities mais je ne suis pas alle
plus loin car
1 - tu utilises une adresse hotmail
2 - tu postes par Google
(Indice de confiance=0)

Tu ne te casses pas la tete. Si ce n'est pas :
- une diffusion usenet de site piege pour attraper des mouches
- une diffusion usenet pour generer du traffic
- le site de quelqu'un d'autre que toi
- de ton fait et que tu soupsconnes un injection de script

==> tu previens ton hebergeur OVH + tu verifies/met en place une prot ection
htaccess + tu remplace la version en ligne par une sauvegarde + tu
surveilles quotidiennement. (non limitatif d'actions/precautions prendre)

accessoirement et HS : tu evites le Content-Transfer-Encoding:
quoted-printable sur usenet ce qui dans le cas de ton message signifie
passer par un lecteur de news et PAS par Google.
--
Cordialement,
Az Sam.




Merci pour ces informations. J'ai prévenu OVH, j'attends leur retour.
Mon adresse email est celle avec laquelle j'ai créé le compte sous
Google.
Je m'adressais sur ce site, car je pensais que justement c'était plus
sérieux que divers forums.
Az Sam
Le #21322001
"Europlac"

Je m'adressais sur ce site, car je pensais que justement c'était plus
sérieux que divers forums.

_____________________________________________


Tu peux venir poster sur Usenet sans passer par aucune passerelle web comme
Google.
Il te suffit de parametrer ton lecteur de news (ou ton lecteur de mail) avec
le serveur nntp (aka serveur de news) que ton Fournisseur d'Acces Internet
met certaienemnt a ta disposirtion gratuitement (certains FAI peuvent ne pas
le faire ou le faire payant)

Ton FAI est Orange, l'adresse du serveur de news a configurer est :
news.orange.fr

--
Cordialement,
Az Sam.
Roland Garcia
Le #21324631
Europlac a écrit :
Bonjour,


Pourriez-vous me dire si mon site internet: www.europlac.eu comporte
un cheval de troie ou autre système malveillant de ce type?
J'ai rencontré des problèmes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait détecté
par un antivirus.
De mon côté j'ai fait des analyses sur mon ordinateur et éliminé les
éléments malveillants. Mais j'aimerai savoir si mon site a vraiment
infecté.

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
vérifier?



Il y a une détection heuristique de Trojan-Downloader.Script.Generic dans:
http://www.europlac.eu/lightbox/js/lightbox.js

et dans: http://www.europlac.eu/lightbox/js/prototype.js

--
Roland Garcia
Roland Garcia
Le #21324621
Europlac a écrit :
Bonjour,


Pourriez-vous me dire si mon site internet: www.europlac.eu comporte
un cheval de troie ou autre système malveillant de ce type?
J'ai rencontré des problèmes de ralentissement, bugs depuis quelques
jours sur mon ordinateur et on m'a averti que mon site serait détecté
par un antivirus.
De mon côté j'ai fait des analyses sur mon ordinateur et éliminé les
éléments malveillants. Mais j'aimerai savoir si mon site a vraiment
infecté.

Pourriez-vous me dire, ou bien m'expliquer ce que je dois faire pour
vérifier?



Il y a une détection heuristique de Trojan-Downloader.Script.Generic dans:
http://www.europl***/lightbox/js/lightbox.js

et dans:
http://www.europla***/lightbox/js/prototype.js


--
Roland Garcia
Stephane Catteau
Le #21325651
Roland Garcia devait dire quelque chose comme ceci :

Il y a une détection heuristique de Trojan-Downloader.Script.Generic dans:
http://www.europl***/lightbox/js/lightbox.js

et dans:
http://www.europla***/lightbox/js/prototype.js



A première vue les deux scripts sont clean et c'est un faux positif.
Mais bon, ce sont de vieilles version (1.4.0 pour prototype alors que
la 1.5.x date de 2007), une mise à jour des scripts ne serait pas une
mauvaise idée et permettrait de régler le problème de ce côté là.
Stephane Catteau
Le #21325641
[supersedes: oup's]

Roland Garcia devait dire quelque chose comme ceci :

Il y a une détection heuristique de Trojan-Downloader.Script.Generic dans:
http://www.europl***/lightbox/js/lightbox.js

et dans:
http://www.europla***/lightbox/js/prototype.js



Prototype est corrompu, voir la dernière ligne du script. En plus ce
sont de vieilles version (1.4.0 pour prototype alors que la 1.5.x date
de 2007), une mise à jour des scripts ne serait pas une mauvaise idée.
Stephane Catteau
Le #21325681
I N F O R A D I O n'était pas loin de dire :

Je ne vois pas trop pourquoi votre entreprise dans le
département 17 aurait besoin de donner l'accès à ces
adresses, en effet...



Passons sur le fait que tu as utilisé filezilla (sic) pour accéder au
site et concentrons-nous sur le fond de ta réponse :

Tu as repéré deux tentatives de connexions, bien, elles représentent
effectivement le symptome de l'infection. Cependant, ton analyse est
superficielle et va à l'encontre de la technologie actuelle.

Tu considères qu'il y a problème (et donc potentiel infection) parce
que l'entreprise concernée est située en Charente-Maritime, alors que
le tld du site désigne la russie. Or, tout d'abord, la localisation
physique d'une société n'est en aucune façon liée à la localisation
physique de son site web ; une société française pouvant parfaitement
faire héberger son site n'importe où dans le monde. Ensuite ce n'est
pas parce qu'un site est hébergé dans un pays qu'il n'a pas de raison
d'accéder à des sites situés dans un ou plusieurs autres pays ; voir
mon message parlant des risques du web, et plus précisément la partie
concernant le contenu actif déporté. En se limitant à ces seuls
critères, tous les sites utilisant des services de Google sont vérolés.
Enfin, ce n'est pas parce qu'un site à un tld le situant dans tel ou
tel pays, qu'il est aussi éloigné que cela du site concerné ici. Après
tout, le site d'une entreprise de Charente-Maritime et un site russe
peuvent parfaitement être situé sur la même machine (mutualisée) d'un
hébergeur malgache.

Pour finir, ta recherche des causes du problème est incomplète et donc
inutile puisqu'elle n'apporte aucune réponse. Il y a des requêtes qui
ne devraient, *peut-être* (car toi tu n'en sais rien sans plus de
recherches), pas exister, mais d'où viennent-elles ? Quel(s)
fichier(s), quelle(s) partie(s) du site en est/sont responsable ?
D'abord est-ce bien le site qui en est responsable ? Peut-être as-tu
sur ton ordinateur un virus qui modifie les scripts à la volée pour
rajouter son propre code malicieux. Une simple recherche, sur n'importe
quel moteur de recherche (1 minute), du domaine vers lequel se font les
requêtes t'aurait apporté la réponse, l'infection est liée au
javascript.
En l'occurence c'est la dernière ligne des deux scripts pointés par
Roland qui est en cause. Virus dangereux ou hacktivisme, je ne sais pas
trop, mais en tout état de cause deux fichiers, au moins, ont été
modifiés, ce qui implique que le site lui-même a été compromis. La
priorité est donc de découvrir où se trouve la faille (par où
l'attaquant est passé pour modifier les fichiers) et de la corriger ;
cela se faisant avec l'aide de l'hébergeur, puisqu'a première vue le
site est sur une machine mutualisée.


Le paragraphe précédent étant la réponse à la question posée, celle
que tu aurais dû faire.
I N F O R A D I O
Le #21326731
Le Fri, 05 Mar 2010 23:43:54 +0100, Stephane Catteau écrit :

Je ne vois pas trop pourquoi votre entreprise dans le
département 17 aurait besoin de donner l'accès à ces
adresses, en effet...



Passons sur le fait que tu as utilisé filezilla
etc...




Firefox + noscript bien sûr...
Il s'agit juste un moyen rapide de se rendre compte
qu'il y a forcément un problème.


Le paragraphe précédent étant la réponse à la question posée, celle
que tu aurais dû faire.




Le temps est précieux, tu as réalisé une réponse, c'est très bien.
Si tu l'avais réalisée avant moi, je n'aurais pas eu à m'exprimer...

Maintenant, plutôt que de lui dire, l'attaque provient de tel et tel
fichier, ce serait plus judicieux de lui dire comment détecter ces
fichiers... Mais on veut rester les gourous du forum...

Sinon, Europlac, va plutôt poser ta question ici :
http://forum.malekal.com/

Bref, je dispose d'autres réponses mais je les réalise
en privé à l'abri des polémiqueurs et une fois mon
correspondant identifié :
http://inforadio.free.fr/postguest.php?lng=fr&typ=ma

Cordialement,
Ludovic.
Publicité
Poster une réponse
Anonyme