Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Sites hacké par advancedcxdefender


Messages recommandés

Invité farvest
Posté(e)

Bonjour,

 

J’administre plusieurs sites utilisant différents CMS dont joomla, et mes sites se sont fait hacker par advancedxpdefender. C’est le dernier logiciel faux contre les espions qui a été créé pour voler de l’argent et endommager nos ordinateurs.

 

Pour rapatrier les internautes, AdvancedXPDefender produira des messages faux positifs, détournera la page d'accueil, donnera des rapports faux contre les espions pour effrayer les utilisateurs et pour nous faire acheter sa version complète.

 

message_erreur_advancedxpdefender.jpg

 

Il s’est attaqué à une dizaine de mess sites, sous joomla, sous SPIP, sans CMS, et même un système d’envoi d’emailing ne comportant qu’une page avec un seul champ qui est complètement sécurisé !

 

Le plus vieux de mes sites à plus de 5 ans, sous joomla 1.0.12 et n’a jamais eu ce type de problème, ça me fait vraiment peur.

 

La première attaque a eu lieu le 11 Juin 2008, et il procédait toujours de la même manière, il insère sur quasiment tous nous fichiers index (.html ou .php et même .old ou autre..) ce script javascript

 

 

Et c’est ça qui affiche le message « la page http://www.advancedxpdefender.com ATTENTION ! You have not completed the virus scan ! Your PC is still infected with spyware ! Please return to advancedxpdefender.com and download Advanced CP Defender scanner

 

Hier il a réussi à infecter un fichier login.html dans un site sous SPIP qui venait d’être installé juste avant, sans modification du code de la dernière release.

 

Je ne sais absolument pas vers quelles pistes m’orienter, je pensais au début que cela provient de failles de sécurités, mais réussir à infecter plusieurs CMS comme cela.

 

Voici quelques-un des sites que j’administre, ce sont des sites qui regroupe différents communautés, et je mets ces adresses sans but :

 

http://www.marketers.lu

http://www.hrone.lu

http://www.itone.lu

 

J’ai vu qu’une personne sous wordpress s’était faite aussi infectée, mais je ne trouve pas grand-chose sur la toile sur comment empêcher l’ajout de ce code sur nos pages. Il y a beaucoup de sites sur comment supprimer le logiciel malware une fois qu’il est installé mais rien sur comment ne pas se faire hacker les pages.

 

Depuis deux jours je passe plusieurs heures à « nettoyer » ces bouts de scripts manuellement en regardant les dates de modification de tous les fichiers, et c’est vraiment l’angoisse,

 

J’attends avec impatience vos réponses sur ce sujet,

Merci beaucoup.

Posté(e)

D'après ce que tu décris, c'est clairement un problème qui vient "de l'intérieur" (un processus qui tourne sur le serveur et qui s'amuse à rajouter ce script dans toutes les pages qu'il trouve) donc il faut alerter l'administrateur de la machine ...

Posté(e)

L'administrateur de la machine, tu veux dire l'administrateur du serveur, l'hébergeur en faite? J'en ai plusieurs, OVH et NEXEN et un autre au luxembourg peu connu VO, qui me répondent que ça ne vient pas de chez eux...

 

Première attaque Mercredi 11 juin 20h13, 80% des fichiers index.php/htm/html/txt/old etc.. infecté par ce code javascript, et que les fichiers index, sur mon hébergement chez NEXEN. Le lendemain, 2 horaires d'infections, 15h33 sur moins de la moitié des sites hébergés chez OVH, et les sites se faisant hacké sont ceux qui sont soit sous CMS, soit proposant un formulaire, ou petite administration. Le plus petit, un système me permettant l'envoi d'emailing et de newsletter avec uniquement un champ dans l'index (ou je met le nombre de mail à envoyer) et quelques fichiers php + bdd mysql. sous OVH. Ce système est protégé par un htaccess qui empêche le listage, pas de formulaire avec identification, pas de passage d'URL en GET, pas de possiblité de faire une injection SQL, pas de page en include.. enfin j'ai fait le tour et je ne vois vraiment pas. Et une autre attaque vers 17h15..

 

Le plus étrange est que hier soir j'ai mis en place un site sous le CMS SPIP, j'ai télechargé la dernière release, et quelque temps après l'installation, sans avoir rien modifié, je retrouve un index infecté, et en plus un fichier login.html (servant à la construction du squelette pour ceux qui connaissent)

 

Celà écarte la possibilité que l'attaque puisse utiliser une machine particulière...

 

A ceux à qui se problème est arrivé, comment l'avez-vous empêché d'atteinde vos pages?

 

Aujourd'hui je recense une attaque à 10h45 environ, je suis en train de parcourir les logs mais je ne trouve rien pour l'instant.

 

merci beaucoup,

Posté(e)

Salut,

 

Sois le (ou les) mec(s) est vachement fort, soit y'a un autre soucie quelques part.

 

Je ne sais pas ce qu'il en ais, mais curieusement, tes sites sous différents CMS se font attaquer, y'a t-il une relation entre eux ? parce que bon, plusieurs hébergeurs, plusieurs CMS, et le même soucie, y'a forcément, un truc qui les relies.

 

Hors, moi je ne vois rien sauf toi, donc je pencherais pour ce soucie là.

 

Est ce que tu stock Tes MDP et login de tes FTP, dans une machine ? si oui, je pense (chuis pas expert) que le soucie vient d'ici...

 

Ou alors, un (ex) associé faché ?

 

Explore les pistes, et dit nous ce qu'il en ais ^^

 

Sinon tu devrait changer login et MDP de tes sites, et ftp ... (juste pour être sûr)

 

Bon courage

Posté(e) (modifié)

Sur le serveur, vérifie ton firewall, ou demande d'en installer un (APF/BFD, CSF/LFD). Faire la chasse au rootkit, rkhunter etc... Voir la liste des processus qui s'exécutent et voir s'il y en a d'anormaux. Vérifie par exempe avec netstat -an les ports en écoute (trace de backdoor éventuel). Vérifie le répertoire /tmp pour des fichiers avec permission d'exécution... Voir les log/error log Apache. Log d'accès ftp/http/sshd... Rapport logwatch.

 

Vérifie aussi la présence éventuelle de shells php tel que *c99* ou *r57*.

 

Tes sites semblent compromis et en plus ça peut infecter les internautes sous Windows XP/Vista qui les visitent avec le Trojan Advanced XP Defender qui est le successeur du fameux WinFixer (voir Google).

Modifié par dnlilas
Posté(e)

Au niveau de mes logs j'ai des connexions avec l'adresse IP

77.221.133.198

 

Cette IP provient de Russie, plus précisément de http://www.infobox.ru Ce prestataire a une adresse abuse : abuse@infobox.ru

 

Donc connexion par FTP, et après recoupement, infection sur mes sites perso, ceux de mon collègues depuis notre habitation perso et même chose dans la société ou nous travaillons : Nous utilisons une version sans licence d'un logiciel FTP FlashFXP et nous pensons FORTEMENT qu'un malware installé dans ce soft a permis la récupérations de tous nos comptes FTP!!

 

Avis aux personnes qui ont le même problème, utilisez-vous un soft FTP sans licence?

Posté(e)

Salut les gars,

 

Je utiliser Wordpress et avait même problème. Je pense avoir résolu. ceci est mon expérience.

 

Je suis d'accord que le problème (trojan?) N'est pas sur mon PC, LAN, ni mon Wordpress parce que les gens avec d'autres CMS (ou même écrit leur propre script php) sont infectés.

 

Ma meilleure estimation est-il sur le processus (ftp): il peut être cassées ou ftp warez ftp mot de passe peu sûrs. Je viens de changer mon client ftp, fixe fichier infecté (index.html ou index.php), et a changé le mot de passe FTP.

et voila le problème résolu!

 

Je suppose que nous allons découvrir brièvement ce qu'est le véritable problème. pour l'instant, je recommande à

-- Essayer de changer client ftp

-- Supprimer le script de fichier infecté, puis

-- Changement de mot de passe FTP

-- Vérifier en cas de soupçon de compte FTP

 

aussi, il s'agit d'une discussion pour voir Anglais / français.

http://wordpress.org/support/topic/182061

http://www.google.com/translate?u=http%3A%...sl=en&tl=fr

 

mai cette aide.

 

PS.

désolé pour mon pauvre français, franchement, je traduit mon français Anglais à traduire avec google .. :P

http://www.google.com/translate_t?sl=en&tl=fr

Posté(e)

Antivir râle sur cette page à cause du code ou des adresses.

J'ai supprimé le code problématique (backupé pour les nostalgiques).

Posté(e)

Perso je recommande l'abandon pur et simple du protocole FTP qui fait passer en clair les mots de passe sur le réseau (il suffit d'une machine infectée à proximité et hop !)...

Il serait peut-être temps de migrer vers des solutions à base de SSL ou SCP / SFTP ?

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...