L'Emploi et le Chômage en Débats

Pour résumer :

à priori, ça ne devrait pas "infecter" les gens qui sont sur fire fox et aussi sur IE version >= 6 ?...

chez moi sur IE ça "redirectionne" sur dir4you et demande l'exécution d'un applet java surement...qui finit par se planter en exception...

mais il est clair que les scripts php du site génèrent cet redirection indésirable...à dir4you

sinon, le cas échéant sur windows : passer spybot (un anti espion gratuit)+ telecharger avast gratuit

http://www.spybot.info/fr/
http://www.avast.com/index_fre.html

Bonjour,

J'arrive enfin à bout de ces pirates, grâce à toute votre précieuse aide. Grand merci!

Par contre, il y a encore un grand écran noir qui s'ouvre sur la page d'actu...mais à priori je n'ai plus les sites malicieux...
Firefox s'est super!!!

Dans quelques mois je vais pour la 1ere fois acheté un PC( oui j'ai un vieux PC que mon cher et tendre neveu m'a filé il y a 5 ans), j'aurais l'occasion de solliciter vos conseils... linux à vous lire semble très performant et investir dans un Mac...bref un univers que je découvre...

Merci encore

Bonjour,

informatik a écrit :à priori, ça ne devrait pas "infecter" les gens qui sont sur fire fox

Je ne suis pas convaincu qu'un firefox avec Java et Javascript activés et sans autres mesures de protection soit une garantie efficace contre l'infection.
Si le code est du Java, il est de plus actif autant sous Linux que sous Windows.


Pili, je n'ai pas bien compris s'il s'agit en fin de compte d'acheter un PC ou un Mac. Je conseillerais plutôt un PC pour lequel le choix logiciel est bien supérieur. Même pour Linux, je pense que le développement et la réactivité en cas de faille sera meilleure du fait du plus grand nombre de développeurs et utilisateurs impliqués. On trouve aussi plus facilement autour de soi des personnes compétentes sur PC que sur Mac.

La réputation du Mac selon laquelle "il n'y a pas de virus pour Mac" est en train de commencer à montrer ses limites, les pirates on compris qu'il y avait une opportunité de ce côté puisque les utilisateurs sont moins vigilants, et le nombre de virus Mac augmente sensiblement ces derniers temps.

Bonjour,

@ Pili :
Comment voulez vous défendre les séniors
et mettre au rebut un pc de (seulement) 5 ans ?

Je ne sais ce que vous faites avec mais,
voyez donc avant s'il n'est pas possible de l'Upgrader à peu de frais.

Je vois que les forums sont ré ouverts, les bêbêtes sont maîtrisés ????

Cette fois-ci, pas d'alerte à un trojan en ouvrant.

D'ailleurs, chez moi j'avais la page d'accueil d'Actu normale, mais l'alerte était donnée au niveau des forums !

Non, plus d'iframe malveillant dans le code source de la page.

Si le presta le veut bien, je serais curieuse d'en savoir plus sur cette infection et la manière dont elle a été jugulée!

Salut,

Si j'ai bien compris.

étape 1
Un script shell en php est installé (via le module forum ?). Il permet de récupérer certaines données (comme les mdp et non d'utilisateurs admin lesquels donnent un accès au ftp). Une fois récupérés, le pirate installe son code dans un template qui génère le code php du site.

étape 2
Ce nouveau code appelle un autre programme qui installe des chevaux de troie ou autres chez l'utilisateur.

C'est relativement bien pensé et pernicieux si c'est cela et c'est autre chose qu'un simple piratage qui s'arrêterait à un affichage de page "site piraté".

C'est l'avis d'un curieux donc à prendre avec pincettes mais tout comme monolecte, je veux bien connaître les modalités de son fonctionnement.

J'ai perdu le nom d'un virus sous windows qui était réputé pour ce genre de tâches. Il se balladait il y a quelques mois. Tous ceux, celles qui en ont bénéficié ont été obligés de réécrire entièrement tous leurs noms d'utilisateurs et mots de passe.

J'ai retrouvé le nom du spyware en question : SPYWARE_TRAK_PCACTIVE.73.
"because if it does, I strongly suggest you change all your passwords and cleanup all your data..." Voilà ce qu'en dit un geek patenté, M Glazman

Gaëlle (conception et maintenance du site) m'adresse ce mail :

Bonjour à tous,

J'ai supprimé le code incrusté dans la base de données (une iframe) mais il risque de réapparaître… Je suis disponible toute la semaine prochaine donc je vous tiens au courant.

+++++++++++++++

Je demanderai à Gaëlle d'apporter quelques précisions techniques à celles et ceux qui semblent se "passionner" pour ce piratage.

Rarement un sujet de nos forums n'a été autant consulté, en si peu de jours.

Par ailleurs, cette file de discussion étant indexée par Google, de nombreux férus d'informatique et de Web passent par ici.

On notera aussi que des Actuchomistes (comme TristeSir, Tux, Diety, Monolecte…) ont apporté leur contribution à l'identification du piratage et ses conséquences, s'attelant à fournir aux autres Internautes quelques clés pour ne pas subir de dommages informatiques.

Cette "affaire" révèle, une fois de plus, la vitalité d'Actuchomage, la réactivité de nos utilisateurs et la solidarité qui s'est rapidement exprimée ici.

Comme quoi, une galère peut vite tourner à la "mobilisation".

Néanmoins, comme le précise Gaëlle, nous ne sommes pas au bout de cette histoire : "L'iframe peut réapparaître".

Mais Gaëlle s'attellera, la semaine prochaine, à renforcer la sécurité du site et identifier ses failles.

Yves - Un animateur

Près d'une semaine pour apporter une solution !

Je pense qu'Actu' aurait du être fermé dès qu'on a su que le site était potentiellement dangereux car l'augmentation irrésistible du nombre de personnes qui consultent Actu' devient une aubaine pour les cyber-criminels puisque statistiquement cela augmente le nombre de machines vulnérables qui sont utilisées pour lire les pages d'Actu.
(je sais que cela ne pouvait pas se faire facilement)

étape 1
Un script shell en php est installé (via le module forum ?). Il permet de récupérer certaines données (comme les mdp et non d'utilisateurs admin lesquels donnent un accès au ftp). Une fois récupérés, le pirate installe son code dans un template qui génère le code php du site.

étape 2
Ce nouveau code appelle un autre programme qui installe des chevaux de troie ou autres chez l'utilisateur.

Le site web d'actu' doit avoir une vulnérabilité quelconque qui a permis aux cyber-criminels (ils font cela pour de l'argent uniquement) de pouvoir avoir accès aux répertoires sur le disque dur où est stocké le code source du site d'actu et de le modifier pour que la redirection vers un autre site piégé se fasse.

la deuxième étape est de faire exécuter un script malicieux qui utilise , comme disent les hackers, un "exploit".

c'est des scripts qui exploitent une vulnérabilité dans un navigateur et/ou un système d'exploitation et qui est source d'une intense activité de recherche de la part de certains informaticiens.

Ces derniers publient des scripts ,"proof of concept" (POC) pour montrer comment exploiter la vulnérabilité et prouver que la menace n'est pas imaginaire.

Normalement l'éthique est d'attendre qu'un patch soit disponible avant de publier le POC.

Le problème, c'est qu'il faut un certain temps avant que tous les navigateurs, les systèmes d'exploitation soient mis à jour pour parer à cette attaque.

Il existe aussi un marché pour les "exploits"/POC, un "0day" (zero day) est très recherché par la cybercriminalité.

Un 0day est la description d'une vulnérabilité , fournie avec son mode d'emploi pour l'utiliser bien souvent, qui n'est pas encore ou peu connue et qui surtout n'a pas encore donné lieu à un patch pour boucher le trou de sécurité induit.

Les meilleures vulnérabilités pour un cybercriminel sont bien sûr celles qui permettent d'exécuter du code dans la machine attaquée cela permet d'en prendre le contrôle.


Un antivirus/un pare feu sont des outils incontournables quand on persiste à utiliser Windows

J'ai moi-même plusieurs sites à gérer, que ce soit de manière perso ou pro et je sais que via les forums ou les CMS, on est facilement "faillible". D'où ma curiosité quant à savoir par où les flibustiers sont passés, histoire de bétonner aussi chez moi (et de participer à l'édification des masses, venues nombreuses, semble-t-il, s'informer sur le méchant trojan!)

Un antivirus/un pare feu sont des outils incontournables quand on persiste à utiliser Windows


Quand le pare-feu n'est pas desactivé!
En nettoyant mes fichiers, et mon disque dur , je me suis aperçu que mon Pare feu etait dé,sactivé! Coup de chance, il y a encore un pare feu dans la live box, plus mon anti spyware, et mon antivirus est très performant , parce qu'il m'a nettoyé et renommé le fichier chaque fois le trojan s'annonçait!

Avec un pare feu desactivé, j'aurai pu planter l'ordi!

Les sites de C..l se sont installés sur les fichiers de mon fils , malgré un controle parental!J'ai tout nettoyé et restauré!

Par contre, il sera interressant de savoir dans un avenir proche , l'identité et le mobile du hacker!


J'ai tout vidé et restauré.

Par contre, il sera interressant de savoir dans un avenir proche , l'identité et le mobile du hacker!

Son identité exacte ne sera jamais connue mais je parierai qu'il est russe ou ukrainien.
Son mobile est simple: faire de l'argent illégalement.

Une bonne partie des failles dans le navigateur/système d'exploitation utilisées sont connues:

http://www.microsoft.com/technet/securi ... 5-001.mspx
( Issued: January 11, 2005 )
http://www.microsoft.com/technet/securi ... 3-011.mspx
Updated: April 13, 2003)
http://www.microsoft.com/technet/securi ... 6-014.mspx
(Updated: May 11, 2006)

Entre autres.

(Ne croyez pas que je maitrise ces scripts mais leur auteur a eu la bonne idée d'utiliser la terminologie habituelle qui les référence: MS05-001,...)

Il y'a d'autres scripts qui ne sont pas clairement référencés (probablement à destination de certaines versions de Firefox)

PS:
J'avais oublié:
http://www.microsoft.com/technet/securi ... 6-006.mspx
Published: February 14, 2006 | Updated: October 10, 2007

Version: 1.1
Summary

Who should read this document: Customers who use a Microsoft Windows Media Player plug-in for non-Microsoft Internet browsers

TristeSir a raison. Nous aurions du couper l'accès au site dès le "piratage" identifié.

Si nous avons tardé, c'est avant tout parce que les deux animateurs du site sont équipés Macintosh, donc plutôt préservés des attaques virales… et de leur identification.

Aucun message ne nous a alertés.

Dès le problème évoqué sur nos forums, je l’ai signalé à notre hébergeur (lui-même équipé Mac) qui a estimé qu’il ne nécessitait pas de coupure d'accès (après avoir "supprimé" deux scripts shells qui s'injectent via le PHP, la description du virus étant : PHP.Shell).

Le tout tombant en plein WE et en pleines vacances des uns et des autres, d'où notre réactivité réduite.

Si un problème comparable devait réapparaître, nous procéderions alors à la coupure d'accès dans les plus brefs délais.

Mais sur ce thème du piratage, j'avoue que je n'y comprends pas grand-chose, pas plus que Sophie, webmestre du site.

On continue à apprendre.

Yves

Bonjour,

Bon ben Yves nous fournit déjà une piste avec PHP.Shell.

Une p'tite recherche nous apprend qu'il s'agit d'un logiciel libre qui peut être téléchargé de puis le site de l'auteur et qui permet d'obtenir un accès shell (quelque chose qui ressemble à la fenêtre de commandes MS-DOS, aussi appelé ligne de commande) sur un serveur.

C'est à partir de cette ligne de commande que l'on peut ensuite visualiser et modifier les fichiers sur le serveur (implantation du iframe).
Comme dit par l'auteur, pour empêcher l'expoitation de ce script, il suffit d'utiliser le safe mode de PHP ou plus simplement d'après cette page de désactiver la fonction proc_open() de php. La procédure de désactivation individuelle des fonctions est expliquée sur la page de safe-mode PHP.

Si ça peut aider...