Forums NFrance

Bonjour,

Merci de votre réponse rapide.

Auriez-vous un bon anti-virus pour Mac à me conseiller ?

Cordialement,

Hélio

Bonjour.

Êtes-vous le seul à avoir cet accès ?

Cordialement,

Prenons les choses dans l'ordre

Tout d'abord, a priori, vous n'êtes pas le vecteur de l'infection, puisque sous Mac. D'autant plus si vous utilisez Mac OS X. Il y a a peu près autant de virus Mac OS X que sous UNIX en général, et cela se réduit à pas grand chose. Donc, pas besoin pour vous d'un anti-virus. Ceci impliquait donc ma question pour savoir si d'autres personnes ont cet accès, car là, cela viendrait d'aux.

N'ayant pas reconnu de CMS particulier touché par une faille installé sur le site dont vous vous occupez, ni plus trouvé dans les logs ftp ce qui ressemblerait à une attaque correspondant à la date du fichier incriminé, je ne peux exclure que le mot de passe du site aie été récupéré par un keylogger ou une saleté du genre sur une machine infectée ayant un accès au site.



Concernant les mots de passe, ils ont été changés il y a environ 1 mois et demi. Le propriétaire du site doit avoir reçu un mail avec les explications complètes. Je vous conseille de vous mettre en rapport avec lui, ne pouvant envoyer ni donner ces mots de passe à d'autres personnes.

Dans le cas où le mail explicatif serait passé à l'as, il est possible de tout récupérer depuis l'espace client, où un lien mot de passe perdu se trouve.

Re -bonjour.

Il y a une chance infinitésimale que nos serveurs ou même nos postes soient vecteurs de l'infection puisque nous utilisons quasi exclusivement FreeBSD. Certaines machines sont sous Linux pour tout avouer Ceci implique que nous sommes "immunisés" comme l'est votre Mac. Ceci dit, n'oublions pas que les premiers Virus ont été développés sous UNIX il y a de ça une 40aine d'années. Même si à l'époque, le but n'était pas le même que maintenant. Je vous conseille d'ailleurs la lecture de la page wikipedia à ce sujet. Fin de la minute historique

Je vais tout de suite vous rendre l'espace complètement vierge.

Veillez cependant à bien vous assurer que toutes les autres personnes ayant accès à cet espace aient bien nettoyé leurs machines où se soient décidées à utiliser de véritables systèmes d'exploitation. (Attention, humour)

En ce qui concerne google, je vous avoue pas savoir, mais normalement, les robots passent régulièrement et tout devrait rentrer dans l'ordre relativement vite.

Cordialement,

Alors, comme réponse

Nous n'avons pas matériellement le temps de vérifier l'intégralité des hébergements que nous fournissons. Nous ne pouvons nous connecter sur toutes les pages de chaque client pour vérifier qu'il n'y a pas de phishing ou autre douceur de ce genre.

Cependant, nous avons mis en place une politique anti-virus qui nous permet au moins de détecter les virus, les dialers et grosso-modo la plus grande partie des programmes malveillants qui pourraient être hébergés par nous. Et c'est justement là que le système montre ses limites. Dans le cas qui nous intéresse ici, il n'y avait pas de virus présent physiquement sur nos plateformes. Le système était un peu plus élaboré. Les pages web avaient été modifiées pour rajouter une iframe cachée. Cette iframe, lançait via du code javascript le téléchargement du virus hébergé lui sur une machine en chine pour contaminer le visiteur.

Ce genre d'incident m'amène à deux type de conclusion:
    - soit la personne malveillante a profité d'une faille de sécurité connue d'un CMS quelconque (Joomla, Drupal ou autres) ou plus généralement d'une faille dans un fichier php qui permet de modifier les fichiers présents sur le site
    - soit une des personnes qui a un accès à l'espace web est infectée par un virus, keylogger ou autre, qui permet à la personne malveillante d'obtenir les accès à l'espace et donc de modifier les pages.

Comme je n'ai pas vu, dans les logs http de comportement pouvant laisser penser à une faille de sécurité php, j'en ai déduis que le problème venait de la machine uploadant les fichiers.

Maintenant, comme je vous le disais plus haut, pour voir ce genre de chose, il nous faudrait, visiter les milliers de pages que nous hébergeons et cela ne nous est pas possible. Les visites plus l'analyse des résultats des visite nécessite des moyens que nous ne pouvons mettre en oeuvre. Remercions Google

En espérant que vous trouverez votre réponse .

Cordialement.

FredNF a écrit:

Les pages web avaient été modifiées pour rajouter une iframe cachée.

La personne qui s'occupe de la partie programmation (PHP) du site me charge de vous demander de quelles pages web il s'agit ? En d'autres termes, pourriez-vous nous dire quelles pages ont été modifiées ?

Merci d'avance.

Hélio

Bonjour,

je suis la personne qui met à jour le site ci-dessus, qui a été attaqué.
Afin de limité les problèmes, je voudrais me connecter en FTP sécurisé (FTPS) pour réaliser les modif. J'ai essayé mais cela ne fonctionne pas. Pouvez-vous me donner la procédure (protocol, port, ...) ?

merci

Philippe