F-BMPL victime d'un abruti

filipo · [↑]

Google m'a signalé le 15 août qu'une des pages du site linkait le visiteur vers un site espion en point RU. Cette page a été identifiée rapidement. Il s'agissait de l'index.php de mon template, pourtant utilisé depuis 2006. Il se trouve que depuis une mise à jour récente des bases de signature de virus, le lien de cette page est désormais signalé comme un malware potentiel .

En aucun cas le site contient des virus. Le site héberge simplement des images, et vidéos. Les quelques fichiers proposés ont été testés avant d'être mis en ligne. La source du problème signalé ces derniers jours vient de ce bout de code enregistré sur le Template, voilà déjà trois ans. Comme le template est chargé chaque fois qu'une page du site est chargée, il lançait ce lien caché à chaque page visitée .... d'où le nombre important de fichiers malwares détectés par Google. Par acquis de conscience, j'ai quand même édité toutes les pages PHP susceptibles d'être concernées par un lien caché. Désormais tout est rentré dans l'ordre.

J'ai pris contact avec Google afin qu'ils révisent leur position sur le site f-bmpl.com.

_______________________________________________

Toute visite de mon site pour le moment effectuée :

- soit depuis Google,
- soit depuis Firefox avec options /sécurité/ seconde case cochée

génèrera ce message d'erreur ...

---> si vous avez déjà obtenu ce message d'erreur, videz le cache de votre navigateur pour prendre en compte la page désormais purgée de ce lien caché, cause de détection de vos antivirus.

J'attends la réponse des techniciens de Google qui doivent corriger le serveur de leur moteur de recherche vis à vis du site F-BMPL.

Yan Solo · [↑]

Bonjour Filipo,

Je viens d'essayer et en effet je tombe sur cette mise en garde.

En espérant que ce soit vite réparé

Amitiés

Bernard

filipo · [↑]

le site est 100% safe, c'est Google qui nous fait des excès de zèle

DaVinnci · [↑]

Ca devient n'importe quoi question sécurité Google/FF. Je compatis et j'espère qu'ils se bougeront les fesses pour te retirer de leur blacklist...

tevious · [↑]

au pire on peut passer par IE...

mais c'est vrai que des fois c'est n'importe quoi leur manière d'indexer... faut dire qu'ils peuvent vérifier manuellement vu le nombre de sites à traiter.

Espérons que ça sera résolu rapidement!

Zangdaarr · [↑]

Il ne te reste plus qu'à modifier la page en question je crois

Yann · [↑]

Faudrait tenter d'afficher un lien qui ne permettent pas à google de le détecter... ça arrive de temps en temps et c'est rageant.

filipo · [↑]

en fait j'ai enfin compris comment c'est passé l'affaire ...

c'est un virus qui tourne depuis le début de l'été.

Il édite les fichiers INDEX.PHP d'un site web puis rajoute à l'intérieur un bout de code qui est ni plus ni moins une sorte de bannière invisible qui dirige le navigateur du visiteur sur un site en point RU. Une sorte de spam mais invisible, si ce n'est que votre Antivirus se met à hurler !

Depuis trois jours, les pages de mon site ont été purgées de ce code, et j'ai pris mes précautions pour ne plus qu'elles soient modifiées ...

Google a été prévenu mais chez eux, ils te blacklistent en moins de deux mais pour t'en sortir, je crois que ça va être la crois et la bannière

Enfin, bon, le site est quand même accessible quoi qu'il en soit ... je vous tiens au courant de la suite de mes déboires avec le nouveau big brother du net !

Yann · [↑]

J'ose te demander quelle était la faille ou la tactique adverse pour modifier tes fichiers PHP ?

C'est assez grave quand même

Prodiax · [↑]

D'un côté y'avait bien quelque chose de pas clair et Google l'a détecté. Vaut mieux être trop prudent que pas assez.

Content que tu aies trouvé d'où ça venait

filipo · [↑]

Yann a écrit :

J'ose te demander quelle était la faille ou la tactique adverse pour modifier tes fichiers PHP ?

FILEZILLA =@

une saleté de trojan caché dans Filezilla et que spybot m'avait détecté suite à une mise à jour de ces derniers jours.

ce virus intégré dans FILEZILLA avait hacker le mot de passe du FTP de mon site ! nous sommes très nombreux dans ce cas, voir sur le net dans les forums spécialisés ...

du coup, j'avais changé le mot de passe du FTP de mon site, bloqué les index.php en 444, etc ...

depuis, tout est redevenu à la normale.

Prodiax · [↑]

Si je peux éventuellement te donner un conseil ce serait de changer la couleur de tes liens à gauche de la page car dans l'actuelle je dois les passer en surbrillance pour pouvoir les lire.

Après peut-être que d'un écran à l'autre le rendu est différent ?

Dernière modification par Prodiax (20-08-2009 23:08:38)

tevious · [↑]

Comment ça se fait qu'un client FTP grand public comme ça soit infecté?

C'est une volonté des développeurs, une version malencontreusement hacké que tu as par mégarde récupéré, ou un virus externe qui l'a infiltré?

En tout cas si t'as trouvé le noyau du problème, tant mieux pour toi et ton site;)

Yann · [↑]

filipo a écrit :

Yann a écrit :
J'ose te demander quelle était la faille ou la tactique adverse pour modifier tes fichiers PHP ?
FILEZILLA =@
une saleté de trojan caché dans Filezilla et que spybot m'avait détecté suite à une mise à jour de ces derniers jours.
ce virus intégré dans FILEZILLA avait hacker le mot de passe du FTP de mon site ! nous sommes très nombreux dans ce cas, voir sur le net dans les forums spécialisés ...
du coup, j'avais changé le mot de passe du FTP de mon site, bloqué les index.php en 444, etc ...

depuis, tout est redevenu à la normale.

ça m'étonne pas tant que ça, j'utilise ce soft et c'est vrai que toute les connexions sont conservées sans rien demander..

Merci pour l'info!

FlipFlap · [↑]

Bonsoir Filipo

peux-tu indiquer quelle version de Filezilla tu utilises svp ?

J'utilise le même cms que toi pour le site de mon association ; peux-tu me donner des infos sur ce que tu as réalisé sur les fichiers index.php ? (ou par mp si c'est trop sensible ... )

Merci.

filipo · [↑]

Rien de bien sensible, j'ai scruté les forums type Joomla, pour comprendre ce qui arrivait à mon site ...

Déjà, Filezilla n'est plus sur aucun de mes postes. Je suis passé à un autre client FTP et en plus, je préfère taper le mot de passe à chaque fois que de l'enregistrer sur ma machine.

Les INDEX.PHP sont par défaut en 777 (rwx-rwx-rwx). J'ai mis des droits en 444 (r-r-r) mais suite aux retours sur les différents forum, cette astuce est peu utile. Ce qu'il faut, c'est scruter les LOG de son site pour voir si il n'y pas d'accès autres sur le FTP de ton site.

Raison pour laquelle, j'ai modifié le mot de passe du FTP de mon site sans le bufferiser nulle part, hormis dans ma tête.

A ce sujet, je vais changer de stratégie de sécurité sur ce mot de passe ... car des rumeurs circulent que 1&1 (mon hébergeur) aurait pu avoir été hacké sur les comptes FTP de certains de ses clients. Ce ne sont que des rumeurs.

FlipFlap · [↑]

Bonsoir Filipo

- merci pour l'info (c'est le 444 que je ne comprenais pas ...) ; là c'est clair pour moi.

- concernant les fournisseurs, le mien (HAISOFT) préconise maintenant l'utilisation du FTPS (je ne savais même pas que cela existait) ; donc plus de zilla non plus car il ne gère pas ce protocole. Par contre j'ai le même retour de mon fournisseur concernant "l'appropriation" des mots de passe pour le FTP.

Merci pour toutes ces infos.

Dernière modification par FlipFlap (21-08-2009 18:26:04)

Fanaf · [↑]

Bonsoir,

Je viens de remarquer que Philippe Geluck, notre Ô cher concitoyen, était victime du même problème. Geluck.
Je vous rassure, c'est pas un trafiquant de drogue, c'est le dessinateur de la bande dessinée " Le Chat " .

Ainsi vont les choses ...

Bonne soirée

FlipFlap · [↑]

Bonsoir Fanaf

effectivement lors de l'utiisation du lien que tu donnes, Antivir klaxonne sur ma machine et m'indique un problème sur un fichier "win.jpg" !!!!

Cela confirmerais donc le fait qu'une image JPG peux embarquer du "code executable" ??

C172 · [↑]

Bah suffit de renommer l'exe en jpg...

Nirgal76 · [↑]

Yann a écrit :

filipo a écrit :
Yann a écrit :
J'ose te demander quelle était la faille ou la tactique adverse pour modifier tes fichiers PHP ?
FILEZILLA =@
une saleté de trojan caché dans Filezilla et que spybot m'avait détecté suite à une mise à jour de ces derniers jours.
ce virus intégré dans FILEZILLA avait hacker le mot de passe du FTP de mon site ! nous sommes très nombreux dans ce cas, voir sur le net dans les forums spécialisés ...
du coup, j'avais changé le mot de passe du FTP de mon site, bloqué les index.php en 444, etc ...

depuis, tout est redevenu à la normale.
ça m'étonne pas tant que ça, j'utilise ce soft et c'est vrai que toute les connexions sont conservées sans rien demander..
Merci pour l'info!

on peut ouvrir le fichier filezilla.xml, et dans la liste d'historique des connections (section <RecentServers>),
mettre pour chaque connexion :
DontRememberPass="1" au lieu de DontRememberPass="0".
et effacer le mot de passe deja mémorisé (mettre Pass="" au lieu de pass="......")

au moins le password ne sera plus sauvegardé, faudra le retapper à chaque fois.

C172 · [↑]

Et tu le trouves où ce fichier en V3 ?

Nirgal76 · [↑]

C172 a écrit :

Et tu le trouves où ce fichier en V3 ?

chez moi il est dans le répertoire ou est installé filezilla
ou alors ce serait un reliquat de la v2 qui était là avant ? j'avais pas pensé à ça !
dans la v3 c séparé en plusieurs fichier dans C:\Documents and Settings\ton_user\Application Data\FileZilla
mais y'a plus ce paraamètre...désolé

Nirgal76 · [↑]

autre solution alors pour la v3, changer le "Kiosk mode" à 1 ou 2 , les passwords ne sont plus enregistrés( en 2, plus aucun paramètre, password et historique de site y compris ne sont enregistrés)
voir le fichier c:\program files\filezilla\docs\fzdefaults.xml.example pour des explications

mais comme ils disent chez filezilla, si un mec à accès au fichier xml ou sont stockés les passwords, c'est que tu as deja un gros probleme de sécurité sur ta machine

Dernière modification par Nirgal76 (25-08-2009 22:46:56)

C172 · [↑]

Merci, j'avais pas été lire cette doc.

Nirgal76 a écrit :

mais comme ils disent chez filezilla, si un mec à accès au fichier xml ou sont stockés les passwords, c'est que tu as deja un gros probleme de sécurité sur ta machine

Alors là c'est sûr !

Dernière modification par C172 (26-08-2009 07:34:29)

Annonce

#1 [↑][↓] 18-08-2009 14:20:54

F-BMPL victime d'un abruti

#2 [↑][↓] 18-08-2009 17:28:41

Re : F-BMPL victime d'un abruti

#3 [↑][↓] 18-08-2009 19:25:02

Re : F-BMPL victime d'un abruti

#4 [↑][↓] 18-08-2009 19:36:59

Re : F-BMPL victime d'un abruti

#5 [↑][↓] 19-08-2009 01:31:09

Re : F-BMPL victime d'un abruti

#6 [↑][↓] 19-08-2009 07:39:50

Re : F-BMPL victime d'un abruti

#7 [↑][↓] 19-08-2009 11:32:23

Re : F-BMPL victime d'un abruti

#8 [↑][↓] 19-08-2009 16:37:37

Re : F-BMPL victime d'un abruti

#9 [↑][↓] 19-08-2009 23:15:47

Re : F-BMPL victime d'un abruti

#10 [↑][↓] 20-08-2009 01:58:20

Re : F-BMPL victime d'un abruti

#11 [↑][↓] 20-08-2009 10:18:30

Re : F-BMPL victime d'un abruti

#12 [↑][↓] 20-08-2009 23:08:13

Re : F-BMPL victime d'un abruti

#13 [↑][↓] 20-08-2009 23:23:55

Re : F-BMPL victime d'un abruti

#14 [↑][↓] 20-08-2009 23:51:19

Re : F-BMPL victime d'un abruti

#15 [↑][↓] 21-08-2009 17:46:23

Re : F-BMPL victime d'un abruti

#16 [↑][↓] 21-08-2009 17:57:38

Re : F-BMPL victime d'un abruti

#17 [↑][↓] 21-08-2009 18:22:32

Re : F-BMPL victime d'un abruti

#18 [↑][↓] 21-08-2009 18:31:51

Re : F-BMPL victime d'un abruti

#19 [↑][↓] 21-08-2009 18:37:51

Re : F-BMPL victime d'un abruti

#20 [↑][↓] 21-08-2009 18:55:46

Re : F-BMPL victime d'un abruti

#21 [↑][↓] 25-08-2009 21:06:40

Re : F-BMPL victime d'un abruti

#22 [↑][↓] 25-08-2009 21:40:12

Re : F-BMPL victime d'un abruti

#23 [↑][↓] 25-08-2009 22:36:10

Re : F-BMPL victime d'un abruti

#24 [↑][↓] 25-08-2009 22:45:36

Re : F-BMPL victime d'un abruti

#25 [↑][↓] 26-08-2009 07:31:43

Re : F-BMPL victime d'un abruti

Pied de page des forums