Page 1 sur 7
ALERTE: TRES IMPORTANT
Publié : 06 mars 2008
par tristesir
Je pense qu'Actu' a été hacké/piraté, à chaque fois que vous consulté une page, il y'a une page qui s'ouvre en douce qui se trouve en ex-Urss redirigée vers une page japonaise.
Cette dernière page contient un script malicieux qui vise sans doute les versions d'Internet explorer non patchées (je ne sais pas s'il existe un patch d'ailleurs pour cette faille)
Il semble que sous firefox il n'y ait pas de problème, même sous Windows.
Et bien sûr ceux qui n'utilisent pas Windows n'expérimentent pas ce problème.
Pour les utilisateurs de Windows:
Vous êtes invités à mettre à jour votre internet explorer (je ne sais pas si cela sera efficace) ou mieux à utiliser Firefox.
Dans tous les cas, un coup d'antivirus est nécessaire.
Ce message a été posté le 6 Mars à 15h26
Publié : 06 mars 2008
par maguy
Effectivement mon anti virus m'a signalé un troyen
Publié : 06 mars 2008
par tristesir
Un bon signe, ca veut dire que le programme malveillant téléchargé et exécuté à votre insu, sur les machines qui souffrent de cette faille d'internet explorer, est reconnu. Ca devrait aider à la désinfection.
Si votre machine se met , à ralentir, à devenir lente, c'est un signe d'infection.
Publié : 06 mars 2008
par Pili
...c'est tout à fait cela Trsite Sir, et mon ordinateur a été infécté depuis quelques jours...les pages qui s'ouvrent , sont des sites de "cul", de jeux de sport, ...et des sites pour antivirus, bref très très interessants...
Mais l'anti virus que j'ai, securitor (wanadoo) ne semble pas assez fort pour reparer le truc.
Donc je prends note de toutes tes infos, merci beaucoup, Triste Sir pour les tuyaux
rajout, j'y connais rien, mais cela ne concerne pas que ma connection au site d'actu, cela conncerne toutes mes connexions, par exemple hier impossible via orange d'ouvrir ma messagerie, le seul moyen que j'ai trouvé a été de passer par outlook,
Publié : 06 mars 2008
par Monolecte
J'ai trouvé la ligne de hack dans le code source.
juste avant le pied de page
Code : Tout sélectionner
<ifra me src="http : //www.nom de domanaine.net/1/js_go_f1.php" sty le="display:none"></ifra me>
Cela n'effecte probablement que les Internet Explorer et leur colle un troyen à l'insue de leur plein gré.
Je cherche à vous hacker pour fixer, en attendant que votre agence bétonne la sécurité!
Publié : 06 mars 2008
par Monolecte
Je suis une merde en hacking...
Publié : 06 mars 2008
par tristesir
il faudrait localiser dans le code php, l'endroit où est injecté cette balise iframe, en espérant que ceux qui ont hacké actu' ont rajouté un code simple ce qui n'est pas sûr quand je vois comment ils se sont emm... pour dissimuler d'où est téléchargé le programme malveillant.
Le problème demeure quant à la façon dont ils ont réussi à avoir accès au code source des pages d'actu'. Une faille non corrigée quelque part.
Publié : 06 mars 2008
par Monolecte
Le code est tout simple, il doit avoir été glissé dans la page /dist/inc_pied.html ou un truc approchant.
Pour rentrer, il suffit de trouver un dossier non protégé... à une époque, les dossiers images/ étaient de vraies passoires.
C'est au prestataire de fixer le hack avant que l'hébergeur choppe un coup de grisou...
Publié : 06 mars 2008
par tristesir
Quelqu'un semble avoir inactivé le lien infectieux sur une partie du site, mais la page d'accueil continue d'être un problème semble t il.
Publié : 06 mars 2008
par tristesir
J'ai l'impression que la page qui contenait le script malicieux sur ce site japonais a été nettoyée
Ca reste à confirmer et ce n'est peut être que provisoire ceux qui ont hacké Actu' peuvent sans doute encore le faire.
PS: j'ai raconté n'importe quoi, le script malicieux est toujours bien là
Publié : 06 mars 2008
par diety
L'infection est toujours là.
J'ai jeté un coup d'oeil sur le fichier js_go_f1.php. C'est du javascript, destiné à IE et Mozilla:
if (window.XMLHttpRequest) {
self.xmlHttpReq = new XMLHttpRequest();
}
// IE
else if (window.ActiveXObject) {
self.xmlHttpReq = new ActiveXObject("Microsoft.XMLHTTP");
}
Je ne vais pas poster tout le code ici; je conseille de désactiver javascript (simple chez firefox) en attendant l'éffacement du code malicieux.
Publié : 06 mars 2008
par jc26
Pour ma part je suis sous firefox et depuis ce matin la flêche de navigation
retour en arrière ne fonctionnait plus en désactivant le javascript tout rentre dans l'ordre
Publié : 06 mars 2008
par zalou
bonsoir,
oui exact, tout comme jc26, impossible de faire retour arrière, je suis sous windows.
Bonne soirée à tous
J'ai alerté nos amis
Publié : 06 mars 2008
par Yves
J'ai alerté nos amis (hébergeurs et concepteurs).
Mais pour le moment, je ne peux rien faire de plus.
Yves - Un animateur
Publié : 06 mars 2008
par tristesir
Bon grace à ce petit incident j'ai un peu révisé le javascript.
Il s'agit bien d'un virus, un troyan très probablement.
Ce fichier (une version de ce fichier, lire la suite) n'est pas détecté par mon antivirus et le fichier injecté dans une machine vulnérable peut ne pas être semblable à chaque fois ce qui peut rendre sa détection plus difficile.
Apparemment, le script malicieux est prévu pour internet explorer et firefox.
Mais je suppose que la mise à jour récente de firefox a éliminé le problème parce qu'il ne me semble pas que j'ai été infecté.