Ziul

redirection vers un site malveillant ?

Recommended Posts

Bienvenue N00b! C'est problématique si elle est toujours présente. 

Modifié par Loup

Partager ce message


Lien à poster
Partager sur d’autres sites

Ça ressemble bien à un bot qui repasse régulièrement pour injecter la faille.

 

Vous avez bien changé tous les mots de passe des personnes ayant les droits d'administration ?

Modifié par Bloki

Partager ce message


Lien à poster
Partager sur d’autres sites

cela ne se fait pas depuis le forum directement. cela se passe depuis notre serveur, rien ne peux s’installer sans passer par là, après oui à tester ou un programme caché qui se relance tout seul

Partager ce message


Lien à poster
Partager sur d’autres sites

Soit la vulnérabilité sur le forum ou autre applis WEB est tjrs présente, une vuln qui permet par exemple de modifier les fichiers ou autres, voire une vuln qui permet de prendre la main sur le système.

Soit ils ont déposé une PHP Backdoor, l'article suivant peut vous aider : http://forum.malekal.com/detecter-les-backdoor-php-t51402.html

Avast! est pas trop mauvais pour les détecter.

Partager ce message


Lien à poster
Partager sur d’autres sites

Si ça vient d'une faille non corrigée sur le CMS, il faut attendre une diffusion d'un patch et il n'y a rien à faire.

 

Le billet du chercheur suppose plutôt une compromission des mots de passe. L'attaque passe par l'injection d'un skin ( à priori réalisable via le panel administrateur du site).

D'après le lien posté, il faut à minima changer tous les mots de passe admin du site et les mots de passe FTP du serveur, en plus de corriger la faille.

Partager ce message


Lien à poster
Partager sur d’autres sites

Pareil pour moi aujoudhui.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ca c'est bcp moins cool : https://twitter.com/malekal_morte/status/603575966250708992

 

C'est un ExploitKit, si le PC de l’utilisateur est vulnérable, ça peut infecter son PC.

Si Google SafeBrowsing se réveille, vous allez être dans la mouise car ils vont probablement blacklister votre forum et vous allez perdre en audiance (déjà que filestore a tendance à remplacer la page du forum).

Partager ce message


Lien à poster
Partager sur d’autres sites

Sur le tweet, c'est un EK.

 

C'est sûr et certains à 30000000000000000000000000000000% =)

 

EDIT : mais oui de manière général, ça ouvre des pubs.

post-56197-0-94041500-1432739235_thumb.p

Modifié par N00b

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est une VM, j'avais un truc à faire avec des PUPs.

Ce n'est pas la source de la redirection vers l'EK.

 

sur le fiddler, y a aussi htxp://alnera.eu/8FA669C3.js?cp=forum.reseau-js.com

Ca doit dater ça, l'URL marche plus, ça devait déjà rediriger vers du contenu malicieux depuis un moment.

 

Le commentaire sur VT date d'il y a un an : https://www.virustotal.com/fr/url/d56d95917506e3446ed65d011174cf24dee73b9812fac409112c5c7b785bb2d4/analysis/1432741086/

"MALICIOUS URL (DOMAIN): EXPLOIT DotKaChef"

Modifié par N00b

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.