Redirection vers un site suspect lors d'une requête via un navigateur

Le
gvdmoort
Bonjour à tous,

J'ai voulu consulter les pages d'un site http://www.galeriecmouscron.be/
dans mon navigateur habituel (Firefox 9.0.1 sur Debian Wheezy), à
partir d'un résultat de recherche dans Google, et j'ai reçu un
avertissement de sécurité au sujet d'un site qualifié de malveillant:
http://cursor-hand.ru/gamma/index.php

J'ai passé outre la recommandation et je suis tombé sur des pages
d'adresses

http://cursor-hand.ru/gamma/index.php?p=pages&title=****

toujours indisponibles, avec un message de ce type dans mon
navigateur:

«La connexion a été réinitialisée. La connexion avec le serveur a=
été
réinitialisée pendant le chargement de la page. (etc.)»

Bizarrement, cette page est accessible au même moment avec d'autres
navigateurs: j'ai fait les essais suivants en utilisant en même temps
la commande urlsnarf pour capturer les requêtes:

Opera:

# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.galeriecmouscron.be/ HTTP/1.1" - - "-" "Opera/9.80 (X11;
Linux i686; U; fr) Presto/2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://sitecheck2.opera.com/?host=www.galeriecmouscron.be&hdn=ADFKoS5dV=
ovYYWY9ehWFog==
HTTP/1.1" - - "-" "Opera/9.80 (X11; Linux i686; U; fr) Presto/2.9.168
Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.galeriecmouscron.be/favicon.ico HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Opera/9.80 (X11; Linux i686; U; fr) Presto/
2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.galeriecmouscron.be/galerie_top.jpg HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Opera/9.80 (X11; Linux i686; U; fr) Presto/
2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.galeriecmouscron.be/galerie_bottom.jpg HTTP/1.1" - -
"http://www.galeriecmouscron.be/" "Opera/9.80 (X11; Linux i686; U; fr)
Presto/2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.google-analytics.com/ga.js HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Opera/9.80 (X11; Linux i686; U; fr) Presto/
2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.google-analytics.com/__utm.gif?utmwv=5.2.2&utms=1&utmn=135=
0010719&utmhn=www.galeriecmouscron.be&utmcs=utf-8&utmsr=1024x768&utms=
c=24-bit&utmul=fr&utmje=1&utmfl=10.2%20r153&utmdt=Galerie%20C%20-=
%20Mouscron&utmhid=1095199322&utmr=-&utmp=%2F&utmac=UA-8880727-1&ut=
mcc=__utma%3D130776857.653539923.1326540020.1326540020.1326540020.1%3B%2B=
__utmz%3D130776857.1326540020.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cu=
tmcmd%3D(none)%3B&utmu=D~
HTTP/1.1" - - "http://www.galeriecmouscron.be/" "Opera/9.80 (X11;
Linux i686; U; fr) Presto/2.9.168 Version/11.50"
fantasio.champignac - - [14/Jan/2012:12:20:19 +0100] "GET
http://www.galeriecmouscron.be/galerie_bg.jpg HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Opera/9.80 (X11; Linux i686; U; fr) Presto/
2.9.168 Version/11.50"

Chromium:

# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
fantasio.champignac - - [14/Jan/2012:12:23:07 +0100] "GET
http://clients1.google.be/complete/search?client=chrome&hl=fr&q=www.g=
aleriecmouscron.be
HTTP/1.1" - - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/
534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:08 +0100] "GET
http://www.galeriecmouscron.be/ HTTP/1.1" - - "-" "Mozilla/5.0 (X11;
U; Linux i686; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/
6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:08 +0100] "GET
http://www.galeriecmouscron.be/galerie_bg.jpg HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Mozilla/5.0 (X11; U; Linux i686; en-US)
AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:08 +0100] "GET
http://www.google-analytics.com/ga.js HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Mozilla/5.0 (X11; U; Linux i686; en-US)
AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:08 +0100] "GET
http://www.galeriecmouscron.be/galerie_top.jpg HTTP/1.1" - - "http://
www.galeriecmouscron.be/" "Mozilla/5.0 (X11; U; Linux i686; en-US)
AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:09 +0100] "GET
http://www.galeriecmouscron.be/galerie_bottom.jpg HTTP/1.1" - -
"http://www.galeriecmouscron.be/" "Mozilla/5.0 (X11; U; Linux i686; en-
US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/
534.3"
fantasio.champignac - - [14/Jan/2012:12:23:09 +0100] "GET
http://www.google-analytics.com/__utm.gif?utmwv=5.2.2&utms=1&utmn=588=
684898&utmhn=www.galeriecmouscron.be&utmcs=UTF-8&utmsr=1024x768&utmsc=
=24-bit&utmul=fr&utmje=1&utmfl=10.2%20r153&utmdt=Galerie%20C%20-%=
20Mouscron&utmhid=271760876&utmr=-&utmp=%2F&utmac=UA-8880727-1&utmc=
c=__utma%3D130776857.790915158.1326540189.1326540189.1326540189.1%3B%2B__=
utmz%3D130776857.1326540189.1.1.utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutm=
cmd%3D(none)%3B&utmu=D~
HTTP/1.1" - - "http://www.galeriecmouscron.be/" "Mozilla/5.0 (X11; U;
Linux i686; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/
6.0.472.63 Safari/534.3"
fantasio.champignac - - [14/Jan/2012:12:23:09 +0100] "GET
http://www.galeriecmouscron.be/favicon.ico HTTP/1.1" - - "-" "Mozilla/
5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.3 (KHTML, like Gecko)
Chrome/6.0.472.63 Safari/534.3"

Firefox:

# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
fantasio.champignac - - [14/Jan/2012:12:25:28 +0100] "GET
http://cursor-hand.ru/gamma/index.php HTTP/1.1" - - "-" "Mozilla/5.0
(X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
fantasio.champignac - - [14/Jan/2012:12:25:28 +0100] "GET
http://www.cursor-hand.ru/gamma/index.php HTTP/1.1" - - "-" "Mozilla/
5.0 (X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"


Il semble que donc que seul Firefox soit concerné. J'ai même essayé e=
n
passant par UserAgentSwitcher, qui permet de faire passer le
navigateur pour un autre, et manifestement le site réagissait de
manière différente en envoyant des scripts javascripts qui ne
répondaient plus

# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
fantasio.champignac - - [14/Jan/2012:12:30:12 +0100] "GET
http://cursor-hand.ru/gamma/index.php HTTP/1.1" - - "-" "Mozilla/4.0
(compatible; MSIE 8.0; Windows NT 6.1)"
fantasio.champignac - - [14/Jan/2012:12:31:17 +0100] "GET
http://cursor-hand.ru/gamma/index.php HTTP/1.1" - - "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)"
fantasio.champignac - - [14/Jan/2012:12:32:20 +0100] "GET
http://cursor-hand.ru/gamma/index.php HTTP/1.1" - - "-" "Mozilla/5.0
(iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18
(KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16"


Quelqu'un pourrait-il m'éclairer sur ce genre de situation ? Est-ce
que c'est le site visité qui aurait installé (sans que ça soit
intentionnel) un script malveillant qui redirige les requêtes selon le
navigateur ?

Merci d'avance,

Gvdm
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
caporal Reyes
Le #24176341
J'ai voulu consulter les pages d'un site <premier site>
dans mon navigateur habituel (Firefox 9.0.1 sur Debian Wheezy), à
partir d'un résultat de recherche dans Google, et j'ai reçu un
avertissement de sécurité au sujet d'un site qualifié de malveillant:
J'ai passé outre la recommandation et je suis tombé sur des pages
d'adresses <second site>



Pourquoi insistes-tu si tu as un programme ou un de tes outils de
protection qui te mette en garde et que tu y vas quand même ?!
Et maintenant tu viens te plaindre ici d'un dysfonctionnement...
If
Le #24176881
Le 19/01/2012 08:56, caporal Reyes a écrit :
J'ai voulu consulter les pages d'un site<premier site>
dans mon navigateur habituel (Firefox 9.0.1 sur Debian Wheezy), à
partir d'un résultat de recherche dans Google, et j'ai reçu un
avertissement de sécurité au sujet d'un site qualifié de malveillant:
J'ai passé outre la recommandation et je suis tombé sur des pages
d'adresses<second site>



Pourquoi insistes-tu si tu as un programme ou un de tes outils de
protection qui te mette en garde et que tu y vas quand même ?!
Et maintenant tu viens te plaindre ici d'un dysfonctionnement...




Je ne crois pas que Gvdmoort se plaigne :

"Quelqu'un pourrait-il m'éclairer sur ce genre de situation ? Est-ce
que c'est le site visité qui aurait installé (sans que ça soit
intentionnel) un script malveillant qui redirige les requêtes selon le
navigateur ?"

On a ici deux phrases, se terminant par un point d'interrogation,
constituant un paragraphe à la fin du message, qui pose, me semble-t il
deux questions.

Vue que je ne saurait pas répondre à la question de Gvdmoort que je
trouve intéressante, Je me contenterai de répondre à la tienne, même si
j'ai bien conscience qu'elle ne s'adresse pas à moi.

"Pourquoi insistes-tu si tu as un programme ou un de tes outils de
protection qui te mette en garde et que tu y vas quand même ?!"

S'il y est quand même aller c'est par curiosité. Chose étonnante et
bizarre qui permet à des gens de se cultiver et d'apprendre.

Alors si on trouve un poste débile soit c'est qu'on a la réponse et
qu'on ne trouve pas la question judicieuse et ça s'explique, ou c'est
qu'on est un inculte crasse qui se complet dans sa merde et qui veut
jouer au boulet qui pu.

Cordialement
caporal Reyes
Le #24179441
Vue que je ne saurait pas répondre à la question de Gvdmoort que je trouve
intéressante, Je me contenterai de répondre à la tienne, même si j'ai bien
conscience qu'elle ne s'adresse pas à moi.

"Pourquoi insistes-tu si tu as un programme ou un de tes outils de
protection qui te mette en garde et que tu y vas quand même ?!"

S'il y est quand même aller c'est par curiosité. Chose étonnante et
bizarre qui permet à des gens de se cultiver et d'apprendre.



Curieux et assoiffé d'apprendre, se jettera-t-on du haut d'une falaise
alors
que des panneaux indiquent clairement qu'il y a "danger de mort" juste pour
voir ce que c'est "la mort" ?! ;-)
MAI
Le #24221141
Le 20/01/2012 12:08, caporal Reyes a écrit :
Vue que je ne saurait pas répondre à la question de Gvdmoort que je trouve
intéressante, Je me contenterai de répondre à la tienne, même si j'ai bien
conscience qu'elle ne s'adresse pas à moi.

"Pourquoi insistes-tu si tu as un programme ou un de tes outils de
protection qui te mette en garde et que tu y vas quand même ?!"

S'il y est quand même aller c'est par curiosité. Chose étonnante et
bizarre qui permet à des gens de se cultiver et d'apprendre.



Curieux et assoiffé d'apprendre, se jettera-t-on du haut d'une falaise
alors
que des panneaux indiquent clairement qu'il y a "danger de mort" juste pour
voir ce que c'est "la mort" ?! ;-)




N'exagérez pas. Quand on dit à un môme de ne pas toucher aux plaques
électriques, il n'obéira pas forcément tant qu'il ne sera pas (un peu,
espérons) brûlé. Braver un interdit est une constante du comportement
humain. C'est une question d'expérience personnelle le plus souvent.

Le fait est qu'être redirigé vers la .ru depuis un site .be est plus
que suspect, mais il faut savoir ce que cela veut dire, et les listes de
sites suspects peuvent être différentes suivant le navigateur et ses
données d'exploitation/sécurité; la fonctionnalité peut aussi être
activée/déactivée.

Amitiés ip-istes
Publicité
Poster une réponse
Anonyme