Page 1 sur 2 1 2 DernièreDernière
Affichage des résultats 1 à 15 sur 23

Discussion: Sites infectés par le troyen "Trojan-Downloader.JS.Agent.ewo"

  1. #1
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75

    Mauvais Sites infectés par le troyen "Trojan-Downloader.JS.Agent.ewo"

    Mes deux sites vBulletin (hébergés sur deux serveurs différents du même hébergeur) sont infectés par le troyen "Trojan-Downloader.JS.Agent.ewo". Une sacrée saloperie. J'essaie de m'en débarrasser. Si vous avez été confronté au problème, un retour d'expérience serait le bienvenue. Je vous tiens informés de la suite.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  2. #2
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    A première vue, ce trojan infecte tous les fichiers ayant dans leur nom "index", ainsi que tous fichiers javascript. Il place un code à la fin de ceux-ci... Gros boulot de décontamination. Reste à savoir si cela vient de mon hébergeur ou de vB...
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  3. #3
    Date d'inscription
    January 2003
    Âge
    41
    Messages
    2 425
    Version de vBulletin
    4.0
    Hébergeur
    Hébergeur perso
    Pouvoir de réputation
    90
    Pour moi, ce n'est pas lié à vBulletin.
    Vois plutôt du côté de ton hébergeur je pense.

  4. #4
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Problème identifié et réglé sur mon premier site. Cela prend un temps fou.
    La saloperie :
    =>http://www.webologist.co.uk/2009/05/...to-remove.html
    La source d'info :
    =>http://www.vbulletin.com/forum/showt...18#post1901318
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  5. #5
    Date d'inscription
    October 2002
    Localisation
    www
    Messages
    1 038
    Version de vBulletin
    5.1
    Hébergeur
    Servint (Côte Est)
    Billets dans le blog
    2
    Pouvoir de réputation
    84
    En fonction du message d'erreur donné sur vb.com, je viens de tester la règle de sécurité http://lesatirique.info/?bonjour=../../ sur ton site (mon IP débute par 76.) dont le lien est donné sur vb.com. Cela semble marcher... et redirige vers une 404. C'est correct, tu devrais être protégé.

    Je préfère une 406

  6. #6
    Date d'inscription
    October 2002
    Localisation
    www
    Messages
    1 038
    Version de vBulletin
    5.1
    Hébergeur
    Servint (Côte Est)
    Billets dans le blog
    2
    Pouvoir de réputation
    84
    Ce qui ne semble pas être le cas pour vbfr.

    http://www.vbulletin-fr.org/?bonjour=../../

  7. #7
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Citation Envoyé par esf Voir le message
    Ce qui ne semble pas être le cas pour vbfr.

    http://www.vbulletin-fr.org/?bonjour=../../
    En même temps, c'est pas vBulletin cette page-là.

    Je doute fort que vBfr soit incriminé, j'ai jamais eu de retour de la part de quelqu'un à propos de ceci pour ici.

    Je suis dans le même cas que http://www.vbulletin.com/forum/showt...=1#post1901321 et je suis le seul ayant un accès FTP pour vBfr.
    Dernière modification par Pitchoune ; 11/01/2010 à 16h35.
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  8. #8
    Date d'inscription
    January 2003
    Âge
    41
    Messages
    2 425
    Version de vBulletin
    4.0
    Hébergeur
    Hébergeur perso
    Pouvoir de réputation
    90
    Non, mais peut-être à prendre au sérieu

  9. #9
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    J'en doute pas.

    Si quelqu'un a ceci en venant ici, signalez-le de suite pour qu'un correctif soit appliqué.
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  10. #10
    Date d'inscription
    October 2002
    Localisation
    www
    Messages
    1 038
    Version de vBulletin
    5.1
    Hébergeur
    Servint (Côte Est)
    Billets dans le blog
    2
    Pouvoir de réputation
    84
    Citation Envoyé par Pitchoune Voir le message
    En même temps, c'est pas vBulletin cette page-là.

    Je doute fort que vBfr soit incriminé, j'ai jamais eu de retour de la part de quelqu'un à propos de ceci pour ici.

    Je suis dans le même cas que http://www.vbulletin.com/forum/showt...=1#post1901321 et je suis le seul ayant un accès FTP pour vBfr.
    Non. Pitchoune. Je suis à des années-lumières d'avoir pensé que vBfr pourrait être incriminé.

    Je me demande juste si le serveur de vBfr est bien protégé comme le serveur de cclaerhout semble l'être pour le 'Directory Transversal'.

    Aucun problème à ce que tu supprimes mes trois derniers messages de ce thread par mesure de sécurité.

  11. #11
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Mon hébergeur a eu la gentillesse de corriger tous les fichiers pour mon second site.

    Le problème est expliqué dans le lien donné plus haut. J'ai dû me chopper un troyen sur mon pc, lequel a volé mes mots de passe FTP et les a ensuite utiliser pour injecter un code malicieux (via ftp) dans tous fichiers comprenant le mot "index", ainsi que tous fichiers Javascript. Ce "troyen serveur" n'a aucun rapport avec vBulletin et c'est tant mieux, car les dégâts auraient pu être bien plus conséquents.

    La meilleure solution pour éviter ce désagrément : ne pas stocker ses mots de passe Ftp dans son client Ftp. De la même manière, je suis effaré de voir avec la facilité que l'on peut "récupérer" des mots de passe des comptes mail sur un pc. Et jusqu'à présent, je n'ai pas trouvé un moyen pour qu'Outlook puisse les crypter.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  12. #12
    Date d'inscription
    October 2002
    Localisation
    www
    Messages
    1 038
    Version de vBulletin
    5.1
    Hébergeur
    Servint (Côte Est)
    Billets dans le blog
    2
    Pouvoir de réputation
    84
    Avec tous les scripts et nouveaux scripts, sécuriser un site/serveur, c'est du full-time. Même le mien (il est un peu sécurisé) n'est pas à l'abri de quelqu'un qui veut et qui prends les moyens pour atteindre son objectif. La meilleure protection demeure toujours un backup récent et savoir choisir un hébergeur qui peut en faire. Mon hébergeur le fait automatiquement à toutes les nuits. Je fais les miens aussi.
    Dernière modification par esf ; 11/01/2010 à 19h25.

  13. #13
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Pour info, j'ai Kaspersky à jour depuis 3 ans. Mais les mises à jour pour ce virus sont venus tardivement. J'avais également l'anti espion de Webroot jusqu'à l'an dernier, mais celui-ci prenait trop de ressources. J'ai utilisé "hijackthis" (non préventif, à utiliser à des fins curatives) pour repérer et supprimer le coupable. Comme le dit ton article, peu importe l'antivirus, aucun système n'est infaillible. J'ai juste pris davantage de précautions cette fois-ci en supprimant tous mots de passe de mes clients ftp.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  14. #14
    Date d'inscription
    January 2005
    Localisation
    EU
    Âge
    39
    Messages
    1 428
    Version de vBulletin
    5.0
    Hébergeur
    Serveurs PRIMERGY
    Pouvoir de réputation
    78
    Oui, apparemment là y'a un gros forum X qui nous demande de les aider. Bref j'explique, on a analysé le "serveur A > clean", "serveur B > clean", "fichiers A et B > clean" et là franchement c'est nouveau !

    Il y a juste un truc qui est FORT et très FORT, c'est qu'on a chopé des personnes qui ont détourné le Référencement du domaine de ce forum X, d'après nous ces personnes là ils ont créé un script Y permettant de détourner le référencement 7j/j et 24h/24, donc cela est égale = Google HS, ça veut dire que Google compte sur le référencement fait par ce script Y !

    Une dernière chose, le script Y fonctionne seulement une fois mis un fichier invisible ".htaccess" qui contient ce message ci-dessous :

    RewriteEngine On
    RewriteBase /
    RewriteCond % { HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)
    RewriteRule ^ http://german.org.in/ [R=301,L]
    Les codes ci-dessus signifient que tous les BOTS de Google, Bing, etc, doivent et vont les prendre en compte > donc du cou sur tous les moteurs de recherche, le forum X en question est mal barré !

    Je pense que le problème est dû le script Y, mais une chose qui est bizarre est que le fichier ".htaccess" sur le serveur B n'existe même pas !
    Dernière modification par Alt ; 23/01/2010 à 22h53.

  15. #15
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Plusieurs questions :
    > Si le fichier htaccess n'existe pas, où as-tu trouvé le code ?
    > Si tu crées un fichier htaccess classique, est-ce la redirection mentionnée plus haut s'effectue ? Si oui, vérifie après coup que le fichier htaccess a été ou non modifié.
    > Si tu crées un fichier htaccess, normalement peux-tu voir ou non le fichier ? (si non voir dans configuration du client ftp / voir avec hébergeur si accès autorisé)

    Visiblement un utilisateur a eu un problème similaire ici

    Pas un rapport direct avec ton problème, mais je suis tombé sur deux sites intéressants :
    http://25yearsofprogramming.com/blog/20070705.htm (peut quand même t'être utile)
    http://gavin.mclelland.ca/2008/06/07...rewrite-rules/
    A lire.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

Informations de la discussion

Utilisateur(s) sur cette discussion

Il y a actuellement 1 utilisateur(s) naviguant sur cette discussion. (0 utilisateur(s) et 1 invité(s))

Discussions similaires

  1. [Dépannage & problèmes] - comment supprimer la partie "Date d'anniversaire" ds la page "profil" ?
    Par ScanDisk dans le forum Archives vBulletin 3.0.x
    Réponses: 3
    Dernier message: 16/07/2005, 19h43
  2. [Graphisme] - Existe t-il des sites de skins "templates" ...
    Par DarkBlue dans le forum Archives vBulletin 3.0.x
    Réponses: 5
    Dernier message: 23/04/2005, 02h45

Les tags pour cette discussion

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •