Attaque du site chercheursduvrai le 06/10/2011

voila ce que j'ai eu tout a l'heure en voulant regarder le forum, j'ai un lien direct dans mes marques pages vers les nouveaux messages sur le forum, firefox a bloqué mon accés et m'a dit:





Navigation sécurisée
Page de diagnostic pour chercheursduvrai.fr

Quel est l'état actuel du site chercheursduvrai.fr ?

Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.

Une activité suspecte sur une partie de ce site a été détectée 2 fois au cours des 90 derniers jours.

Que s'est-il passé lors de la visite de ce site par le robot Google ?

Sur les 2 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (2) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2011-10-06, et le dernier contenu suspect sur celui-ci a été détecté le 2011-10-06.

Des logiciels malveillants sont hébergés sur 1 domaine(s), y compris hgajskfgkewrfgyjagysdf.ce.ms/.

Ce site était hébergé sur 1 réseau(x), y compris AS29169 (GANDI).

Ce site a-t-il servi d'intermédiaire pour favoriser la propagation de logiciels malveillants ?

Au cours des 90 derniers jours, chercheursduvrai.fr ne semble pas avoir servi d'intermédiaire pour l'infection de sites.

Ce site a-t-il hébergé des logiciels malveillants ?

Non, ce site n'a hébergé aucun logiciel malveillant au cours des 90 derniers jours.

Que s'est-il passé ?

Dans certains cas, des tiers peuvent ajouter du code malveillant sur des sites légitimes, ce qui déclenche l'affichage du message d'avertissement.

Étapes suivantes :

Revenir à la page précédente
Si vous êtes le propriétaire de ce site Web, vous pouvez, à l'aide des outils Google pour les webmasters, demander qu'il fasse l'objet d'un examen. Pour plus d'informations sur le processus correspondant, consultez le Centre d'aide pour les webmasters.







j'ai fait une sauvegarde si tu la veux Chercheur, c'est signé Google...

On m'a averti (plusieurs personnes qui aiment le site et y viennent régulièrement) du souci que j'ai expérimenté moi-même aussi tout à l'heure.

J'ai cherché à comprendre et analysé mes pages et trouvé le souci, que j'ai corrigé mais qui peut revenir.

C'est une attaque du site volontaire afin d'espionner les personnes qui y viennent.

Un code a été ajouté à la page principale d'accès au site web de conspirovnicience, fichier modifié en date du 6 octobre à 19h55:
https://www.chercheursduvrai.fr/index.php

Ce code était le suivant:

Il consistait à créer une double fenêtre, dont l'une est la page normale du site, référée dans le fichier host.php lui-même faisant appel au fichier host.txt qui ont été téléchargés en même temps que le virus; et une autre fenêtre avec un lien vers un site qui n'existe déjà plus et qui essayait de télécharger un logiciel espion sur les machines qui le consultent.

J'ai pu corriger l'insertion du code en l'effaçant et supprimer les deux fichiers créés en question; mais la manière dont ils sont arrivés là est inconnue. j'ai contacté mon hébergeur qui est un ami et qui cherche dans ses logs et essaie d'analyser comment ils ont pu rentrer.

En cherchant un peu sur internet avec ces données j'ai vu qu'une adresse IP russe avait été répertoriée pour le même lien hier 6 octobre pour le même lien posté ailleurs (avec une sous-page différente):
Adresse IP: 91.220.35.38

L'adresse tombe en Ukraine:
http://ip-address-lookup-v4.com/lookup.php...35.38&x=17&y=17

Le fichier host.php existe sur le disque du serveur en date du 14 juin 2011 (mais la date est possiblement falsifiée).

Google qui passe régulièrement sur mon site a vu ce lien et le malware associé et m'a blacklisté. Du coup Firefox qui consulte les bases de données de blacklist avant d'ouvrir un site m'a indiqué blacklisté.

Pour le moment la menace est écartée, mais tant que la manière dont l'auteur de l'attaque s'est introduit n'est pas comprise, cela peut recommencer. C'est mon hébergeur qui cherche ça en ce moment.

Cela signifie deux choses:
1)Celui qui a fait ça pouvait modifier des fichiers et créer des fichiers sur l'espace du site sur le serveur
2)Il pouvait donc abîmer le site mais au lieu de cela il a inséré un lien caché vers quelque chose qui télécharge un logiciel espion (classé trojan par les logiciels antivirus qui ont scanné le lien russe). Donc le but était clairement de pouvoir espionner en toute discrétion les personnes qui passent sur chercheursduvrai.

Preuve ultime que ce qui est fait ici intéresse fortement et est surveillé!
On gêne, donc on fait des choses qui font avancer la connaissance humaine au-delà de ce en quoi elle est baillonnée par les forces en place du système global.

Le site porte plus que jamais aujourd'hui son nom de chercheursduvrai, car la conspiration est là.

Mon site est le seul qui ait été attaqué sur la multitudes de sites hébergés sur le même serveur par mon hébergeur, c'était une visée spécifique. Il serait intéressant de savoir de quel type étaient les autres sites attaqués par ce pirate basé en Ukraine et travaillant à la solde des illuminatis très probablement.

Maintenant il va falloir donc trouver la faille dans le serveur, la réparer, et trouver comment me déblacklister par google en lui demandant de revenir scanner le site.

Je ne saurais trop vous conseiller de scanner votre ordinateur. Mon antivirus gratuit Avast a détecté le trojan, il le pourra aussi chez vous.

Ce message a été modifié par Chercheur le Vendredi 07 Octobre 2011 à 21h20

PS: je viens de voir que l'heure du serveur a 2h de retard sur l'heure normale, donc l'attaque a lieu depuis 21h55 hier soir 6 octobre en fait et pas 19h55.

Abusé tout ça Oo

Hello à tous ,

Faut faire gaffe , j'ai pleins de message d'erreur , et certaines fois je n'arrive pas à me connecter du tout.

Et même ! je suis tombé sur une page me demandant si je voulais changer de mot de passe !

Faut trouver une solution.

Ah oui, moi aussi, ça me fait ça en ce moment !
Comme dit Chercheur, c'est bien la preuve qu'on dérange.
On doit vraiment être dans le vrai pour subir ce genre d'attaque ciblée spécifique !

Le message d’alerte de ce matin, et en dessous, le résultat du scan rapide :



“2 global energy innovation fuckir”

??? bizarre cette appellation, quand même en rapport avec le contenu du forum. Et quand bien même se serait une attaque virulente, il y aurait un autre nom sans rapport , non ?

“HTML:RedirME-inf(Trj)”

En cherchant on voit que cette chose aurait déjà été détectée comme “faux positif” par Awast (que j’ai)

Là il n'y avait rien d'un faux, le code était bien inséré dans ma page.
Mon hébergeur n'a rien trouvé de son côté, il penche pour une exploitation d'un défaut de sécurisation de formulaires ayant permis d'exécuter un code afin de modifier le fichier php en question.

J'ai désactivé le livre d'or; on verra si ça suffira. Après il me reste les forums comme formulaires!! Normalement c'est sécurisé, surtout que j'avais appliqué plein de patchs de modification de sécurité divers au fur et à mesure, mais bon.... donc rien n'assure que ça ne va pas recommencer.

Normalement j'ai pu faire avec google ce qu'il faut; quand ils vont bientôt rescanner le site, ils vont cvonstater qu'il est propre et le déblacklister... en espérant que le souci ne reviendra pas!

Très intéressant, ça indique que le script malicieux chargé vise bien le travail sur l'énergie libre!

Mais ce n'est pas le même que ce qui est répertorié avec mon Avast.

PS: ça y est google est passé, je suis déblacklisté.

Donc vos firefox ne vont plus crier et le site est accessible par la recherche google. Reste encore comme je l'ai dit à savoir si ça ne va pas se reproduire.

Bonsoir

Oui et non.

Si je devais attaquer un site, il me semble évident que je commencerai par le suivre quelques temps juste en consultation pour voir.
Or bien souvent je jette un coup d’œil sur le forum avant d'aller me coucher (tard dans la nuit ou tôt dans la matinée) et il y a presque toujours les deux mêmes utilisateurs : googlebot et moi sur pratiquement tous les sujets que je balaie.
J'en déduis que google passe très régulièrement, on peut même dire quotidiennement.
Je sais que google détecte les malwares à partir d'une liste.
Si mon but est réellement d'espionner les visiteurs de ce site je vais avoir besoin de temps pour infecter un maximum de visiteurs. Ce n'est pas juste copier des fichiers ou les effacer et repartir. Il faut rester discret le plus longtemps possible, et ma première préoccupation sera donc d'écrire un malware spécifique avec lequel j'aurai des chances de passer inaperçu quelques temps. En tout cas plus longtemps qu'avec l'utilisation d'un standard puisque je sais qu'il sera repéré dès le prochain passage du robot. J'ai donc environ 24h00 devant moi si je place le malware juste après le passage du crawler. Or googlebot se balade sur chercheursduvrai très souvent entre 1h00 et 3h00, ce qui n'exclut pas d'autres horaires, mais enfin là je réduis ma fenêtre de discrétion si j'introduis un malware à 21h55.
De même, et je n'ai pas les chiffres, mais en général le week-end il y a une baisse de fréquentation de la plupart des sites. Donc placer une attaque un jeudi soir ce n'est pas heureux. C'est ou un lundi matin pour capter le rush des visiteurs en retour de week-end, ou un vendredi soir pour tester l’accalmie du samedi.

S'il y avait eu intention de flinguer des pages, ce serait déjà fait puisqu'il a eu introduction dans le serveur et écriture.
S'il s'agissait d'accéder à des parties privées, il y avait juste besoin de trouver les codes d'accès à une BDD, télécharger la base, effacer ses traces et bye.
Enfin comme il est évident que la langue affichée est le Français, si je veux éviter de me faire remarquer j'ai tout intérêt à me faire tracer comme un site Français. J'éviterais les pavillons Ukrainiens, Chinois et autres localités bien connues pour leurs laxisme envers le piratage.

Là il semblerait qu'il se soit passé l'inverse, quelqu'un n'a pas craint de se faire repérer en utilisant un appât connu. Un peu comme si un white-hat avait voulu montrer une faille sans avoir besoin de l'exploiter.

C'est juste mon point de vue, et il peut fort bien ne pas être partagé, mais je pense que s'il y avait réellement une intention "conspirationniste" ciblée contre chercheursduvrai les dégâts auraient été plus lourds.

nous somme en guerre

j'avais eut la même chose sur mon site à l'époque mais avec beaucoup plus de dégats dans les fichiers
ça avait pas été facile, mais la solution c'est d'écraser en renvoyant tous les fichiers si on a une sauvegarde bien sur

j'en profite pour demander de l'aide car cette fois ci c'est mon flux rss qui est en panne pour une raison inconnue si quelqu'un qui connait le code php de wordpress a la soluce ça serait sympa, sur le forum de WP ils n'ont pu me proposer que de mettre à jour la version du site mais il s'avère que l'ancienneté de la version me fait craindre d'autres erreurs lors de la mise à jour
@+
NT

J'ai bien sûr une sauvegarde du site (et des sauvegardes régulières de la base de données); mais c'est du temps perdu si la faille n'est pas détectée. Bref là pour le moment ça va, on verra.

Sinon je n'ai jamais utilisé le RSS et je ne connais pas du tout Wordpress, donc là je ne peux t'aider, désolé. Peut-être d'autres le pourront?

Le site en question continue à déposer des trojan à divers endroits.
Il est effectivement probable que ça soit une action de masse où il cherche des sites ayant la faille qu'il sait exploiter pour déposer son trojan, sans être cible spécifique pour le contenu:

http://www.malwaredomainlist.com/mdl.php?s...gyjagysdf.ce.ms

Ayant supprimé le livre d'or et le système de recherche du site j'espère que le souci est réglé.

il faut avant tout change le pass ftp ! c'est une armée d'ordinateurs zombie (infestée) qui ont craqué le pass. Le but n'est pas de défacer ton site mais de transformer ton serveur en spammeur en faisant marcher un script via ton site

Oui, bien sûr j'ai commencé par changer le mot de passe ftp et celui d'accès à la zone de gestion de mon compte serveur. Mais il peut y avoir eu entrée par le livre d'or (en faisant exécuter un code judicieux qui a permis de faire autre chose que prévu).

Par contre tu fais bien de m'en parler, je viens de changer le mot de passe de l'accès à la base de données MySQL, j'avais oublié ça (désolé ça a dû interrompre les forums pendant 1min)

Sur demande, j'ai rétabli le moteur de recherche du site. Il intègre dans sa base de données l'ensemble des sujets des forums jusqu'à hier soir en plus du site.

Merci Chercheur

C'est vrai qu'il était bien pratique pour retrouver le "truc" qu'avait dit "machin" sur le sujet ...

Enfin moi je l'utilise pas mal.

Mais la fonction de recherche sur les forums elle, a toujours été présente. C'est le moteur intégré à la partie site que j'avais supprimé et remis là; car il peut présenter des risques potentiels de sécurité.

il y a un compteur énorme qui s'affiche sais normal?

pourquoi mettre des protection si ils savent tous sur nous....

Mon hébergeur a du simplement apporter une modification sur le PHP de ses serveurs et changer l'affichage des messages d'avertissement à "forcé".

Je viens de lui demander si il a bidouillé son PHP. Rien de grave et ce n'est pas une attaque!

oui sait indiqué "....../compteur/visite.php on line 36.

Pour moi,sa fonctionne maintenant merci Chercheur

Mon hébergeur avait en effet fait une mise à jour de son PHP, ce qui a fait qu'une fonction de date demandait un paramètre supplémentaire sans quoi le PHP avertissait du souci. Il m'a ajouté le paramètre manquant dans le script du compteur.

Bref c'est réglé.