cheval de troie

[lefuret]

Bonjour,

je comprend pas mais sur mes sites (pages web) heberges chez ovh, j'ai des cheval de troie, d'ailleurs google a marqué mes sites (risque d'endommagements etc..)
comment je fais pour les virer

merci

ps : j'ai recharge/remplace toutes les pages et photos, ca change rien, le cheval finit tjs par revenir

 

[Zecat]

Il y a eu plusieurs topic sur ce sujet et sur la façon de corriger le tir. En résumé :

1 - Ca vient souvent de faille dans filezila
2 - Les bouts de scrip pourris atterrissent souvent en bas des pages nommées index ou qu'elles soient dans l'arborescence du site
3 - pour corriger il faut un convoi sanitaire globale (changement pass filezila, nettyage machine qui a servi à acceder au ftp via filezila, nettoyage de spages index vérolées).

Ca c'est le coté curatif.

Pour le coté préventif, une demarche avait été présentée (par votre serviteur félin :wink: ) pour intercepter à la volée l'arrivée du cheval de troie, le foutre en quarantaine dans un dossier bien gardé et nettoyer les pages vérolées en temsp réel (le but étant que les moteurs n'aient pas le temps de deceler le canasson et donc pas le loiri de déclarer le site comme dangereux.

Je sais plus ou est le topic mais bon madri va surement jouer les archivistes ...

 

[spout]

Laisse-nous deviner ? Tu utilises FileZilla ?

 

[lefuret]

oui FileZilla

 

[lefuret]

je suis un peu paumé la ,

 

[forty]

si tu utilises un cms et des plugins n'oublie pas de les mettre à jour car ils peuvent contenir une faille de sécurité. Si tu as un anti virus à jour sur ton PC c'est même plutôt de ce côté qu'il faut chercher.

 

[lefuret]

comment change t'on les mdp sur FileZilla ?

 

[Zecat]

oui FileZilla

A tout hasard va jeter un oeil sur :

1 - tous tes document qui ont index dans le nom
2 - tous tes .js

et regarde en bas si t'as pas 2 ou 3 lignes de cochonceté qui ont été ajoutée à l'insu de ton plein gré

Si oui, bingo tu viens de croiser une vieille connaissance (un cheval de retour dirait-on :wink: )

 

[spout]

- Tu dois checker tout ton PC (Antivirus, malwarebytes, spybot, etc...)
- Tu dois changer les mdp de ton hébergement OVH via le manager.
- Puis mettre à jour le mdp dans le site manager de FileZilla: http://filezilla-project.org/images/screenshots/fz3_win_sitemanager.png

 

[lefuret]

je vois rien !!
j'ai mis a jour le logiciel FileZilla tout a l'heure
j'ai remplacé toutes les pages et photos hier

j'ai scanne spybot + avast (suffisant?)

et je trouve pas de bout de codes

-www.lafuretiere.com
-www.lafuretiere.fr
-www.elevage-furets.com

voila les trois "sites" infestes

 

[Zecat]

Moi awast ne me signale que le premier comme ayant un canasson dans le buffet. Les 2 autres rien (pour le moment). En fait tu dois bien faire le distingo entre deux choses :

- le site est vérolé a un instant t
- le site est en rouge chez google

La comme tu viens semble t il de rechercger toutes les pages, il es possible que les deux derniers sites ne se soient pas encore fait réinfesté (google lui le laisse en rouge tant que tu n'a pas déroulé toute la procédure pour lui dire que tu as corrigé la chose). La procedure est un peu cass-b..., faut aller sur un site us (j'ai oublie le nom puis signaler que c'est ok et ca remonte a google et 3 ou 4 jours apres le rouge disparait ...).

Bref bon courage. Je me rappelle avoir passé une très mauvaise semaine lorsque ca m'etait arrivé et c'est pour cela que j'avasi alors mis en place une detection/flingage de cannasson temps réel :wink:

 

[Zecat]

j'ai pas retrouvé le topic dont je te parlais mais deja cela en complement :

https://www.webrankinfo.com/forum/t/grosse-attaque-dun-cheval-de-troie-hier.128912/
https://www.webrankinfo.com/forum/t/probleme-virus-site-web-urgent-svp.131491/

et

https://www.webrankinfo.com/forum/t/injection-js-sur-plusieurs-pages.136268/
https://www.webrankinfo.com/forum/filezilla-est-cancer-dans-securite-vos-si ... l#p1219204

 

[lefuret]

je pige pas
rien o scan, pas de bout de code vus ds la source de la page
j'ai change le mot de passe ftp, recharge page et photo, et le site est tjs HS, d'ailleurs je n'arrive pas a l'ouvrir, redirige vers une page blanche et autre url

-www.elevage-furets.com

 

[forty]

chez moi il marche

 

[MikeR]

Sur la_furetiere._com, avast me signale un appel de la page h t t p : // j u e s d a s . t k/4573516.html infectée par un cheval de troie.

 

[lefuret]

oui mais je trouve rien, il est ou ce troyen ;-(((

 

[lefuret]

En reflechissant je crois, peut etre, ne pourrait il pas etre possible que cela soit lorsque j'ai mit explorer a jour en passant de la version 7 a 9 il y a 2/3 jours ?

 

[Zecat]

oui mais je trouve rien, il est ou ce troyen ;-(((

Chez hélène peut-être :mrgreen: ok ok c'est drôle moyen surtout dans le contexte stressant que tu vis ...

Bon sinon j'ai vu que tu as des pop up de pub ... il se nicherait pas de ce coté ?

 

[lefuret]

j'y ai pensé mais que sur 2 sites seulement et j'en ai 4 de plombes..
je vais les virer qd meme pour ce que ca genere loll

 

[ybet]

Bref bon courage. Je me rappelle avoir passé une très mauvaise semaine lorsque ca m'etait arrivé et c'est pour cela que j'avasi alors mis en place une detection/flingage de cannasson temps réel :wink:

Moi aussi, rien que deux jours pour essayer d'installer un anti-virus sur le serveur en Linux en version d'évaluation (base de au mojns 100 virus connus :roll: ), réinstallé le serveur pour m'apercevoir que le deuxième était aussi touché et que le premier revenait touché. Complètement réinstallé mon PC et réinstallé tous les serveurs.

j'y ai pensé mais que sur 2 sites seulement et j'en ai 4 de plombes..
je vais les virer qd meme pour ce que ca genere loll

L'élevage est le seul accessible sans que GG t'arrête directement

PS: une fois corigé, c'est via webmaster-tools que ca se passe.

 

[lefuret]

le seul accessible encore par google ne l'est pas pour moi, cela me renvoi a -http://giajkus.tk/51853516.html
et lorsque j'essai via mes favoris j'atteris sur -http://onmouseup.info/stats.php
j'ai pourtant recharger les pages etc.. mais rien

j'ai scanne avast, spybot, malware et ils n'ont rien trouvé.
ds la source de ce site, aucun code etranger
je comprends pas car en plus il n'y avait pas de bubblestat sur celui ci

ds les 2 autres (signale par google) y avait un code ds le head.
j'ai donc vire bubblestats, et recharge pages et photos, pour l'instant il n'y a plus de code et les sites sont accessible via l'url en direct.

j'ai aussi change mes mdp ftp, je rame

 

[lefuret]

une idée ?

 

[zeb]

1 - tous tes document qui ont index dans le nom
2 - tous tes .js

3 - Les htaccess avec des redirection foireuses.

fillezilla est pas directement en cause il n'a pas de "faille" a proprement parler disons de truc qui permette de l'utiliser a ton insu. Le truc merdique sur fillezilla c'est qu'il stocke les mots de passes dans un fichier XML qui n'est pas crypté donc tous les clampins qui :

* utilisent du windows en mode admin
* sont pas protégés correctement sur leur PC
* ne le scanne pas systématiquement
* trainent sur des site que la morale réprouve

finissent par se choper un cheval de troie ou un truc du genre qui fait qu'un petit malin va récupérer le fichier de mot de passe de fillezila ...

Avant de nettoyer ton serveur fait du nettoyage maison car si tu le fait pas tu va reconduire le problème. Perso si je savais pas ce qui se passe sur ma machine je ferait un format direct sans réfléchir.

 

[zeb]

Au passage le fait que google ré-affiche correctement ton site sans la mention "attention", ne veux rien dire. Ce n'est pas google qui détecte les virus il fait appel a une autre boite ce qui fait que si tu lui dit que c'est réglé il te croie sur parole. Mais si la boite te re signale deux jour plus tard il remet le truc ...

 

[lefuret]

c'est le troisieme qui me pose soucis (les 2 autres ca a l'air regle)

le seul accessible encore par google (-elevage-furets.com) ne l'est pas pour moi, cela me renvoi a -http://giajkus.tk/51853516.html
et lorsque j'essai via mes favoris j'atteris sur -http://onmouseup.info/stats.php
j'ai pourtant recharger les pages etc.. mais rien

j'ai scanne avast, spybot, malware et ils n'ont rien trouvé.
ds la source de ce site, aucun code etranger
je comprends pas car en plus il n'y avait pas de bubblestat sur celui ci

 

[zeb]

As tu vérifié le htaccess du site ? ensuite comme mi j'y arrive sans souci je regarderait du côté de ton fichier host en local chez toi pour voir si tu t'est pas fait rediriger ...

 

[lefuret]

Merci,
a priori ca devait etre adobe reader, j'ai charger la mise a jour et c'est a priori reglé ..

Merci

 

[lefuret]

j'ai qd meme galerer ;-)

je partage un lien qui m'a aidé
http://forum.ovh.com/showthread.php?t=49433

merci encore

 

[Koxin-L.fr]

Le truc merdique sur fillezilla c'est qu'il stocke les mots de passes dans un fichier XML qui n'est pas crypté

C'est pas merdique lorsque l'on sait gérer un PC.
Antivirus à jour et firewall correctement configuré et surtout officiel.
Installer un outils de sécurité cracké est un non sens.

Je stock des données sensible sur mon PC sans les cacher ou les cripter.
15 ans que je n'ai jamais eu de virus ou de d'intrusion.
... et des tentatives, y en a eu.

 

[zeb]

C'est pas merdique lorsque l'on sait gérer un PC.

C'est pour ça que je parlais de margoulin qui bossent avec un compte admin sur windaube ... le fichier en question est, de mémoire, dans une zone système donc hors de porté de tout soft ou personne malveillante qui aurait pris le contrôle d'une session 'utilisateur sans privilège' .... mais va expliquer ça a des personnes qui achètent une machine dans un supermarché en regardant juste la couleur et la taille d'un processeur sans avoir la moindre idée de ce qui fait tourner le truc ...

Bizarrement on rencontre moins ce genre de bévue chez les utilisateurs Unix like ou l'usage d'un compte root est un peut plus surveillé ...

 

[lefuret]

Comment fait on pour que google recrawl un site (-www.lafuretiere.fr) afin qu'il vire la sanction "site dangereux" . Site que je n'ai pas mit ds gwt.

 

[Koxin-L.fr]

Bonjour,

Tu le met dans les GWT, tu attend quelques jours qu'il te dise que ton site à un soucis de "dangerosité" et tu lui dis que tu a corrigé le problème.

S'il continue à mettre site dangereux, c’est qu'il y trouve quelque chose de pas clair.

Rod

 

[lefuret]

il n'y a pas un autre moyen que de mettre le .fr dans GWT ? car j'y ai deja le .com

Vu qu'ils parlent de la meme chose, google ne va pas en declasser 1 ?