Virus

Certains d'entre vous ont vu l'accès au site bloqué. Je suis donc à la recherche d'une solution pour ce problème.

D'après Mihai V http://www.skyfall.fr/?page_id=897#comment-81738

Selon AVG 2012, il s’agit d’un Exploit Blackhole exploit kit.(oui c'était le cas)

J ‘ai dû désactiver momentanément AVG pour pouvoir répondre.

Il s’agit probablement d’un faux positif dû à des antivirus trop chatouilleux.

Sur mon PC, c’est le module AVG Surf-Shield qui bloque l’ouverture de la page de Skyfall et me met un message d’alerte.

AVG Surf-Shield

La technologie Surf-Shield, élément du composant LinkScanner, protège
votre système et vos données lorsque vous naviguez sur Internet. Elle
détecte les menaces en ligne complexes, telles que :

· Les sites Web d’exploit qui utilisent un code malveillant,
· Les sites Web de phishing qui usent de ruse pour vous amener à livrer vos informations personnelles,
· Les sites piratés, sérieux et légitimes à l’origine, mais
potentiellement dangereux et imprévisibles après avoir fait l’objet
d’une attaque pirate.

Prise en charge : la technologie Surf-Shield contrôle le trafic HTTP
sans tenir compte de votre navigateur Internet, ce qui signifie qu’il
est compatible avec tous les navigateurs.

Il m’a suffi de désactiver ce gadget module pour pouvoir accéder à Skyfall normalement.

C'est votre choix, si vous suivez la procédure de Mihai.

Merci de m'informer si le problème persiste. Le passage à Google Diagnostic ne détecte rien.

J'espère pouvoir résoudre ce problème rapidement.

Problème résolu (19/05/2012). Soyez vigilants !

@@@@@@

101.  AntonioSan | 8/05/2012 @ 16:17 Répondre à ce commentaire

C’est reparti encore une fois bloque… et puis la ca marche…

102.  jojobargeot | 8/05/2012 @ 16:41 Répondre à ce commentaire

Et pis là ça marche plus…..suis passé outre mais ça coince à l’ouverture.

103.  Araucan | 9/05/2012 @ 0:24 Répondre à ce commentaire

Mihai V (#17),

Normalement, ce code est retiré …

104.  Bernnard | 9/05/2012 @ 9:25 Répondre à ce commentaire

Araucan (#103),
Oui mais ce message apparait encore!
Skyfall est signalé comme site malveillant! On peut apparemment passer outre mais cette situation est dissuasive pour un visiteur non averti!

Qui en tire profit si c’est volontaire? ou bien, est-ce un virus résident?

Il est inévitable d’en trouver l’origine et de protéger le site à l’avenir. Ce n’est pas facile mais cette action est nécessaire.

105.  Bousquet de Rouvex | 9/05/2012 @ 11:13 Répondre à ce commentaire

Il faut bien reconnaître à skyfall une certaine malveillance… à l’égard du GIEC, par exemple !

106.  Bousquet de Rouvex | 9/05/2012 @ 11:15 Répondre à ce commentaire

Bousquet de Rouvex (#105), le par exemple n’a pas été souligné par moi, mais par un site de phishing, attention !

107.  Bousquet de Rouvex | 9/05/2012 @ 11:15 Répondre à ce commentaire

Bousquet de Rouvex (#106), Tiens, il est parti ??! Etrange…

108.  Araucan | 9/05/2012 @ 11:48 Répondre à ce commentaire

Bernnard (#104),

Je me suis aperçu qu’une fois le site signalé, c’est très difficile de s’en faire retirer par Google par exemple …

109.  Bernnard | 9/05/2012 @ 12:37 Répondre à ce commentaire

Avast me signale qu’un cheval de Troie a été bloqué à l’instant!

110.  Mihai V | 9/05/2012 @ 12:38 Répondre à ce commentaire

Araucan (#108),

Il est surtout difficile de s’en faire retirer par Google quand le site est encore vérolé comme c’est le cas maintenant

AVG Linkscanner ne réagit pas, mais je constate encore une fois la présence d’un script exotique à la ligne 84 du code source de la page.

111.  Clipiticlopos | 9/05/2012 @ 13:34 Répondre à ce commentaire

Avec Firefox :
– L’extension Noscript bloque un script provenant de http://viewkux.ru.
– L’extension Web developer signale également un malware dans une frame : menu outils/Web developer/View source/View frame source.

112.  Araucan | 9/05/2012 @ 15:03 Répondre à ce commentaire
113.  Araucan | 9/05/2012 @ 15:24 Répondre à ce commentaire

Mihai V (#110),

Re-nettoyé … Re-vérification ce soir.

114.  Bob | 9/05/2012 @ 15:38 Répondre à ce commentaire

Araucan (#113),

Je ne pense pas qu’il s’agisse d’une attaque ciblée. Le malware en question (Blackhole exploit kit) se répand en ce moment comme une traînée de poudre sur la toile. Dans des proportions rarement égalées.
De manière générale, il faut éviter de donner des liens avec des sites russes qui sont souvent virusés. Même si c’est dommage…

Bon courage !

115.  parousnik | 9/05/2012 @ 16:55 Répondre à ce commentaire

C’est JS-Trojan… que mon anti virus bloque quand je visite ce site… et rien sur d’autres sites contestataires des élucubrations du GIEC comme Climat sceptique ou la Pensée unique…

116.  Bob | 9/05/2012 @ 17:42 Répondre à ce commentaire

parousnik (#115),

JS-Trojan ? Bizarre. Mon AV me jure que c’est Blackhole etc…

Il me dit aussi que le site w%w.orth%graphe.rec%mmandee.info qui doit être utilisé quand on rédige un message est passé à l’attaque…

Je suggère de couper ce gadget.

J’ai volontairement remplacé des lettres par de %

117.  Murps | 9/05/2012 @ 18:50 Répondre à ce commentaire

Ce truc est pénible…
sad

118.  Bernnard | 9/05/2012 @ 19:31 Répondre à ce commentaire

Ce n’est pas facile de se connecter sur skyfall en ce moment!

119.  Bob | 9/05/2012 @ 19:36 Répondre à ce commentaire

Bernnard (#118),

Venir sur Skyfall, ça se mérite !!!!

120.  Bernnard | 9/05/2012 @ 20:28 Répondre à ce commentaire

oui je prends des risques!!!!

121.  Mihai V | 9/05/2012 @ 20:41 Répondre à ce commentaire

Bernnard (#120),

Pour réduire les risques, les utilisateurs de Windows peuvent utiliser Sandboxie.
Voir mon message N°34 sur ce fil de discussion.

122.  Bernnard | 9/05/2012 @ 21:22 Répondre à ce commentaire

Mihai V (#121),
Merci! je regarde

123.  Araucan | 10/05/2012 @ 0:08 Répondre à ce commentaire

Essai

124.  Mihai V | 10/05/2012 @ 1:01 Répondre à ce commentaire

Bernnard (#122),

À côté du tuto en « français approximatif » de Malekal, je conseille celui de InfoMars.fr un peu plus détaillé.

J’utilise quotidiennement Sandboxie depuis décembre 2007.
Si je me souviens bien, je n’ai pas attendu la fin de la période d’essai pour payer la licence. J’ai réglé celle-ci après quelques jours, tellement le programme me plaisait.

125.  Araucan | 10/05/2012 @ 1:17 Répondre à ce commentaire

Merci de me signaler si il y a à nouveau le blackhole signalé avec le code source concerné.

126.  Bernnard | 10/05/2012 @ 7:18 Répondre à ce commentaire

Mihai V (#124),
merci! je ne connaissais pas mais c’est utile.

127.  Araucan | 10/05/2012 @ 14:49 Répondre à ce commentaire

A titre d’information, les fichiers infectés ont été nettoyés et protégés en écriture ainsi que les dossiers du site.

Si vous passez par Google, ce site fait état d’une inspection faite le 07/05/2012.
Une autre inspection a été demandée aujourd’hui …

merci de votre patience, de vos indications et de votre compréhension.

128.  Bob | 10/05/2012 @ 15:13 Répondre à ce commentaire

Araucan (#127),

Grand merci, Araucan.

129.  Bernnard | 10/05/2012 @ 16:13 Répondre à ce commentaire

Araucan (#127),
Merci Araucan!
Je suppose que ce problème est difficile et demande pas mal de travail!

130.  Araucan | 10/05/2012 @ 16:56 Répondre à ce commentaire

Bernnard (#129),

Il faut surtout savoir quoi faire ! (C’est là où l’on passe du temps)
Frédéric a donné un coup de main pendant mon absence (modification de certains fichiers). Les indications de Mihai V ont permis de localiser le fichier concerné. j’en ai trouvé quelques autres et j’ai du corriger un bug lié au changement de fichiers fait par Fred (bug qui affectait l’administration du site, par exemple les posts modérés et l’édition de nouveaux billets). Enfin les permissions de fichiers et de répertoires ont été modifiées.

Pour ne pas être embêté par Google, copier directement l’adresse du site dans la barre de navigation.

Maintenant, il va falloir voir combien de temps Google va continuer à mettre skyfall dans les sites à problèmes …

131.  the fritz | 10/05/2012 @ 17:29 Répondre à ce commentaire

Araucan (#130),
Bien; personnellement avec internet explorer je n’ai jamais eu de problèmes, ce qui n’est effectivement pas le cas avec google chrome

132.  Marco33 | 10/05/2012 @ 23:10 Répondre à ce commentaire

Ce soir : accès au site sans message d’avertissement de google ou de mon antivirus….
OUF! ?

En tout cas, merci à ceux qui ont contribué à remettre sur rail notre site !

133.  JG2433 | 11/05/2012 @ 0:35 Répondre à ce commentaire

Rentrant de réunion, avant d’éteindre le Mac*, un passage sur Skyfall.

Plus d’avertissement signalant la présence d’un logiciel malveillant sur le site ! 😛 Ce qui se produisait malheureusement avec constance depuis plusieurs jours… et me faisait quitter Skyfall illico. sad

Merci à Araucan et à tous ceux qui auront contribué au « nettoyage ».

* PowerBook G4 Mac OS X.5.8 – Safari (navigateur principal) ; une alerte se produisait aussi avec Firefox (version pour PPC).

134.  scaletrans | 11/05/2012 @ 9:19 Répondre à ce commentaire

Merci à Araucan et à tous ceux qui ont permis de débusquer les malware. Espérons que nous n’aurons plus d’attaque…
Marot me disait que l’infection pouvait provenir d’un internaute innocent dont le PC (ou le Mac) serait infecté: quelqu’un pourrait-il préconiser une manip à faire par tous? Pour l’instant, je vais lancer une recherche avec Avast, mais je sais que ce n’est pas la panacée (il bloque mais ne supprime pas).

135.  Mihai V | 11/05/2012 @ 10:10 Répondre à ce commentaire

scaletrans (#134),

Pour pouvoir infecter les fichiers WordPress placés sur le serveur d’OVH, il faut avoir accès à ceux-ci avec des droits d’écriture.
Ce ne peut donc pas être un simple internaute dont l’ordi serait infecté.

Il faut que ce soit par l’ordinateur d’un administrateur ou d’un modérateur qui a un accès FTP avec des droits d’écriture ou par un hacker qui arrive à profiter d’une faille de WordPress pour contourner la sécurité.

136.  Alpiniste | 11/05/2012 @ 13:16 Répondre à ce commentaire

Je remercie aussi ceux qui oeuvrent à l’assainissement du site.
De manière étonnante, quand mon anti-virus (AVG free) me bloquait l’accès sur mon ordinateur (que ce soit avec cette bouse d’IE ou avec Firefox), j’arrivais quand même à accéder au site avec mon chicphone 3G ! (j’ai pris le risque et apparemment celui-ci se porte bien et ne semble pas souffrir d’un quelconque virus) 8)

137.  Araucan | 11/05/2012 @ 14:20 Répondre à ce commentaire

scaletrans (#134),

Le virus recherchait manifestement des fichiers spécifiques et en php je pense …

138.  Hacène | 15/05/2012 @ 10:12 Répondre à ce commentaire

Pour info, chaque chargement d’une page skyfall me conduit de nouveau, sous Mac et Firefox, à un message me demandant si je souhaite ouvrir le fichier texte de 0 octet nommé count26.php depuis une adresse en « .ru ». C’est comme ça que les ennuis avaient commencé pour moi la dernière fois.

139.  Hacène | 15/05/2012 @ 12:01 Répondre à ce commentaire

Hacène (#138),
Ce n’est plus le cas. Pourvu que ça dure.

140.  scaletrans | 15/05/2012 @ 12:20 Répondre à ce commentaire

Mihai V (#135),

Donc la malveillance n’est pas exclue ?

141.  Mihai V | 15/05/2012 @ 13:55 Répondre à ce commentaire

scaletrans (#140),

Évidemment.
En matière de sécurité informatique (ou autre), on n’est jamais sûr de rien à 100%.

Dans ce cas-ci, il est certain que le fait de ne pas utiliser une des dernières versions de WordPress fait courir un risque d’exploitation de failles connues.

142.  Hacène | 15/05/2012 @ 22:22 Répondre à ce commentaire

De temps à autre, mon message (#138) redevient d’actualité. Par ailleurs, il m’est arrivé par trois fois de ne pouvoir du tout me connecter à Skyfall aujourd’hui, avec ce message en guise de résultat :

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, postmaster@www.skyfall.fr and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

143.  Bob | 15/05/2012 @ 22:58 Répondre à ce commentaire

Hacène (#142),
J’ai eu le même message ce matin vers 10h.

144.  Araucan | 15/05/2012 @ 23:12 Répondre à ce commentaire

Hacène (#142),

Ce message est de ma faute … Il sera susceptible de réapparaître. J’essaye de réagir au plus vite dès que je vois qlq chose de génant (ex : #138)

Désolé.

145.  Marco33 | 15/05/2012 @ 23:22 Répondre à ce commentaire

Araucan (#144), Mon pauvre…vous devez en baver!!
Courage!! On vous soutient!!!

146.  Hacène | 15/05/2012 @ 23:40 Répondre à ce commentaire

Araucan (#144),
Merci à vous, et, surtout, ne vous excusez pas. Courage !, en effet.

147.  JG2433 | 16/05/2012 @ 8:31 Répondre à ce commentaire

Araucan (#144),
J’ai eu le même message d’erreur que Hacène (#142), dans la journée d’hier, à plusieurs reprises.

Grand merci à vous pour tout le mal que vous vous donnez !

148.  Araucan | 16/05/2012 @ 9:02 Répondre à ce commentaire

Il y a eu une attaque hier … Nettoyage fait.

149.  Araucan | 16/05/2012 @ 14:23 Répondre à ce commentaire

Pas de manifestations pour le moment.

150.  Araucan | 18/05/2012 @ 8:53 Répondre à ce commentaire

http://www.skyfall.fr/?p=1057#comment-82382

Essais concluants.
Plus de tentatives d’accès intempestifs depuis cette nuit.
Merci de votre patience et désolé pour les désagréments occasionnés.
Comme certains filtres ont été renforcés, merci de m’indiquer si des difficultés apparaissent (fournir le message obtenu …).

Fil fermé.

Sorry, the comment form is closed at this time.