Virus

Certains d'entre vous ont vu l'accès au site bloqué. Je suis donc à la recherche d'une solution pour ce problème.

D'après Mihai V http://www.skyfall.fr/?page_id=897#comment-81738

Selon AVG 2012, il s’agit d’un Exploit Blackhole exploit kit.(oui c'était le cas)

J ‘ai dû désactiver momentanément AVG pour pouvoir répondre.

Il s’agit probablement d’un faux positif dû à des antivirus trop chatouilleux.

Sur mon PC, c’est le module AVG Surf-Shield qui bloque l’ouverture de la page de Skyfall et me met un message d’alerte.

AVG Surf-Shield

La technologie Surf-Shield, élément du composant LinkScanner, protège
votre système et vos données lorsque vous naviguez sur Internet. Elle
détecte les menaces en ligne complexes, telles que :

· Les sites Web d’exploit qui utilisent un code malveillant,
· Les sites Web de phishing qui usent de ruse pour vous amener à livrer vos informations personnelles,
· Les sites piratés, sérieux et légitimes à l’origine, mais
potentiellement dangereux et imprévisibles après avoir fait l’objet
d’une attaque pirate.

Prise en charge : la technologie Surf-Shield contrôle le trafic HTTP
sans tenir compte de votre navigateur Internet, ce qui signifie qu’il
est compatible avec tous les navigateurs.

Il m’a suffi de désactiver ce gadget module pour pouvoir accéder à Skyfall normalement.

C'est votre choix, si vous suivez la procédure de Mihai.

Merci de m'informer si le problème persiste. Le passage à Google Diagnostic ne détecte rien.

J'espère pouvoir résoudre ce problème rapidement.

Problème résolu (19/05/2012). Soyez vigilants !

@@@@@@

51.  Bob | 30/04/2012 @ 17:11 Répondre à ce commentaire

Marot (#49),
J’utilise aussi Firefox.
option « bloquer les sites signalés comme étant des sites d’attaque » ON.
Pas de problème de chargement de page.
Alors que les jours derniers j’avais droit au bandeau avertisseur, je ne l’ai plus.

52.  Marot | 30/04/2012 @ 17:21 Répondre à ce commentaire

Bob (#50)
Cela je l’avais déjà fait et j’avais eu les mêmes résultats.

Maintenant il s’agit d’AVG8 gratuit uniquement.

Ce que je comprends de l’affaire est qu’un programme résidant d’AVG analyse la page à la volée, détecte quelque chose et bloque l’accès à la suite. D’où une page incomplètement chargée.

53.  Marot | 30/04/2012 @ 17:24 Répondre à ce commentaire

Oubli à réparer : merci Bob !

54.  Bob | 30/04/2012 @ 17:25 Répondre à ce commentaire

Marot (#52),
Quel oubli ?

55.  Marot | 30/04/2012 @ 17:37 Répondre à ce commentaire

Bob (#53)
de vous remercier pour votre suggestion.

56.  Mihai V | 30/04/2012 @ 19:03 Répondre à ce commentaire

Marot (#50),

En désactivant complètement un antivirus, on n’a plus aucune protection.
Je préfère ne désactiver temporairement que le strict nécessaire.
Avec Process Guard, je ne risque de toute façon pas grand chose. Encore moins en surfant sous le contrôle de Sandboxie comme maintenant.

Je ne connais pas AVG 8.
Je suis passé de NOD32 à AVG parce que NOD32 ne fonctionnait plus avec mon fidèle Windows 2000 Pro. C’était en 2010 après 10 ans sous Windows 2000.

J’ai alors testé Avira et AVG. J’ai opté pour AVG Antivirus 9 ou 2011et j’ai payé assez vite une licence de 2 ans qui se termine le 17 Juin 2012. J’ai pu faire gratuitement la mise à jour vers AVG Antivirus 2012 et je viens cette nuit de renouveler la licence pour deux ans (coût 37.50 €)

La version gratuite proposée actuellement est la version 2012.
http://avg-anti-virus-free.softonic.fr/

57.  Marot | 30/04/2012 @ 19:33 Répondre à ce commentaire

Pour ceux qui auraient un écran bleu

Sous AVG8 et Firefox, j’ai désactivé Active surf-shield comme suit et cela a marché :

Aller dans le répertoire AVG8,
lancer avgui.exe
clic-clic sur Link scanner
désactiver Active surf-shield
relancer firefox.

58.  Marot | 30/04/2012 @ 22:57 Répondre à ce commentaire

Marot (#56)
La procédure ci-dessus met en œuvre la suggestion initiale de Mihai V.

59.  Mihai V | 1/05/2012 @ 1:15 Répondre à ce commentaire

Marot (#57),

Avec AVG 2012, il me suffit d’actualiser la page. Il n’est pas nécessaire de relancer Firefox.

Soyez quand même prudents quand vous désactivez des protections. Vous prenez des risques si votre système et vos logiciels présentent des failles de sécurité.

60.  mike | 1/05/2012 @ 18:00 Répondre à ce commentaire

Bsr,
Une menace réelle sur votre site :
http://www.webpagetest.org/res.....1/details/
peut-être a prendre au sérieux.
Amicalement.

61.  Bob | 1/05/2012 @ 18:31 Répondre à ce commentaire

mike (#59),
Oui. Merci. C’est assez clair.

62.  Laurent Berthod | 1/05/2012 @ 22:16 Répondre à ce commentaire

ça recommence !

63.  Murps | 1/05/2012 @ 23:35 Répondre à ce commentaire

Laurent Berthod (#61), oui !
sad

64.  Bob | 2/05/2012 @ 10:05 Répondre à ce commentaire

Murps (#62),

Il faut absolument supprimer toute référence sur skyfall au site indiqué en rouge sur le tableau fourni par mike (#59),

d&&http:/c*hug#h.ru/co#n**1.p$p

nom détruit; Ce site d’origine russe (virus fréquents) serait basé à sétif (algérie) selon l’analyse.

65.  Patrick Bousquet de Rouvex | 2/05/2012 @ 11:07 Répondre à ce commentaire

Bob (#64), Oui, mais où la trouver ? Autant chercher une aiguille…

66.  Mihai V | 2/05/2012 @ 11:50 Répondre à ce commentaire

Patrick Bousquet de Rouvex (#65),

C’est sur le serveur de Skyfall chez OVH que se trouve le problème.

Nous n’y avons pas accès. Il nous faut donc attendre qu’il y ait de nouveau un pilote à bord, c’est-à-dire le retour de Araucan vers le 10 mai.

Le nom du site en .ru change régulièrement et l’adresse IP numérique encore plus. Je vois cela dans les connexions sortantes de mon pare-feu.

67.  Mihai V | 2/05/2012 @ 12:41 Répondre à ce commentaire

Plus de message d’alerte !

Le fameux script … i=0;try{prototype;}catch(egewgsd){f=[‘-32b-32b64b61b-9b-1b59b70… n’est plus présent dans le code source des pages de Skyfall.

Est-ce la fin de l’infection ou n’est-ce que momentané ? on le saura bientôt.

68.  Bernnard | 2/05/2012 @ 14:10 Répondre à ce commentaire

Surprise à mon retour!
Skyfall site malveillant???
qui a signalé ça?
En tout cas j’ai cliqué sur une bande qui indique que ce n’est pas un site malveillant et ce qui me permet d’écrire ce message mais je dois renouveler à chaque fois cette manœuvre.
Utilise Firefox 12 et Avast 7.0.1426 comme AV

69.  Bob | 2/05/2012 @ 14:51 Répondre à ce commentaire

Bernnard (#68),
Si vous avez un bon AV, vous pouvez cliquer sur firefox/outils/options/securité/
décocher bloquer les sites signalés comme sites d’attaque…

Mihai V (#67),
C’est vrai que ce foutu script a disparu…
Bizarre. Qui bricole ce site ?

70.  Mihai V | 2/05/2012 @ 15:34 Répondre à ce commentaire

Bob (#69),

Bizarre. Qui bricole ce site ?

Araucan – avant son abandon de poste – n’a-t-il pas dit qu’il contactait son fournisseur.

Pour moi, c’est donc un technicien d’OVH qui est intervenu, le 30/04 une première fois (sans succès durable) et maintenant.

71.  AntonioSan | 2/05/2012 @ 17:22 Répondre à ce commentaire

Bon maintenant ca marche pour moi aussi. « Pourvu que cela dure »… 😉

72.  Bernnard | 2/05/2012 @ 18:15 Répondre à ce commentaire

Apparemment ça marche!;)

73.  julien | 2/05/2012 @ 21:50 Répondre à ce commentaire

skyfall attaqué, il fallait s’y attendre… sad

je suppose que l’un des champs doit être injectable niveau sql, ce n’est pas la première fois qu’il y a ce genre de soucis (certaines contributions effacées, site foutu en l’air une paire de fois au moins, et maintenant ce bout de script qui fait un écran bleu je suppose qu’il injecte du code pour infester et pister vos ordis). sad

j’espère de tout mon coeur que l’admin trouvera la solution pour sécuriser ce site web.

74.  julien | 2/05/2012 @ 22:02 Répondre à ce commentaire

Com.Br Websites Infected with Maliciour JS Code (bylviha .ru/count18.php)

Alors ça y est les réchauffistes ont embauché des sortes de hackers pour faire un climategate à l’envers? smile Ils ne vont pas trouver grand chose…

75.  Frédéric, admin skyfall | 2/05/2012 @ 22:21 Répondre à ce commentaire

Bonjour à tous,
Je profite de l’occasion pour faire un coucou à tout le monde. J’ai laissé le blog aux bons soins des autres modérateurs et surtout d’Araucan mais je jette quand même un coup d’oeil de temps à autre.

Pour le problème de cette fois-ci, c’est, comme correctement diagnostiqué par les skyfalleurs, une attaque sur une faille de WordPress permettant à un hacker d’injecter une (longue) ligne de code dans le fichier header.php. Je ne sais pas ce que fait vraiment cette ligne à part déclencher une alerte virus.
J’ai supprimé la ligne « malicieuse » et restreint les droits d’accès au répertoire contenant header.php il y a 2 jours mais ça ne suffit pas puisque le fichier a été réinfecté. Aujourd’hui, j’ai renettoyé, « musclé » le fichier htaccess et fait une mise à jour des portions de WordPress sujet à la faille de sécurité. Ce n’est pas sûr que la solution soit définitive car la version de WordPress mise à jour reste assez ancienne (2.07, pour cause de compatibilité). Hélas, mes compétences (et à vrai dire, celle d’un ami plus calé en réseaux) s’arrêtent là, le gros chèque des compagnies pétrolières supposées financer généreusement Skyfall n’étant jamais arrivé, je ne peux payer que de ma propre personne et non les services d’un expert en sécurité systèmes. Désolé pour les dérangements.

Merci à tous de votre participation, bonne continuation et longue vie à Skyfall.
Fred.

76.  Marot | 2/05/2012 @ 22:41 Répondre à ce commentaire

Frédéric, admin skyfall (#75)
Cela fait grand plaisir de vous voir intervenir.

Merci

77.  Bob | 2/05/2012 @ 23:12 Répondre à ce commentaire

Frédéric, admin skyfall (#75),
Merci et bravo !

78.  AntonioSan | 3/05/2012 @ 0:17 Répondre à ce commentaire

Merci!

79.  Marco33 | 3/05/2012 @ 7:24 Répondre à ce commentaire

Frédéric, admin skyfall (#75), Bonjour Fred !!! Très content de vous revoir!! Si vous êtes de passage sur Bordeaux, faites signes pour que je vous invite à boire un p »tit coup 😉
Merci pour avoir remis Skyfall sur les rails!!!!

80.  JG2433 | 3/05/2012 @ 9:48 Répondre à ce commentaire

Frédéric, admin skyfall (#75),

Absent de chez moi (et sans connexion) entre le 22 et le 30 avril dernier, j’ai eu l’affichage de l’avertissement suivant à l’ouverture de Skyfall :

Avertissement : Un problème a été détecté sur cette page.
http://www.skyfall.fr fournit du contenu provenant de tevythi.ru, un site connu pour distribuer des logiciels malveillants. Votre ordinateur pourrait être infecté par un virus si vous consultez ce site. […]

J’ai illico quitté Skyfall…

Votre intervention a fait en sorte que ma consultation du site ce matin est à nouveau « normale ».

Merci à vous !

81.  scaletrans | 3/05/2012 @ 10:04 Répondre à ce commentaire

Frédéric, admin skyfall (#75),

Merci Frédéric, heureux de vous savoir toujours là!
Si les subsides des pétroliers sont réservés à la FARCE, peut-être serions-nous assez nombreux ici pour financer une opération de renforcement de la cuirasse; d’ailleurs, il me semble que nous avions fait dans le temps quelque chose de similaire pour une mise à jour du logiciel.
En tous cas, on voit bien où sont les méchants!

82.  Mihai V | 3/05/2012 @ 14:23 Répondre à ce commentaire

scaletrans (#81), Frédéric, admin skyfall (#75),

Heureux de voir que Frédéric est toujours là.
D’accord avec la suggestion de scaletrans. Je suis prêt à mettre la main à la poche pour aider à mettre le logiciel à jour et à renforcer la sécurité du blog.

Je dois malheureusement annoncer que l’intervention de Frédéric n’a servi qu’à changer de menace. Depuis 13h45 AVG Linkscanner me signale une menace bloquée Blackhole Exploit Kit (type 1146), alors que la précédente était du type 1160.

Dans le code source de la page, on retrouve également un long script exotique inséré à la ligne 84.

Pour moi, la mise à jour de WordPress vers la dernière version stable s’impose de toute urgence.

83.  Marco33 | 3/05/2012 @ 14:48 Répondre à ce commentaire

Oui, cela recommence….
Ah! Si on avait les mêmes financement que les réchauffistes, sûr que l’on aurait pas ces pbs….

84.  julien | 3/05/2012 @ 15:19 Répondre à ce commentaire

Frédéric, admin skyfall (#75), Content de lire ta réponse! C’est sur que les compagnies pétrolières nous ont bien lachés sur ce coup là.. laugh

La vérité, c’est qu’à part anthony watts (qui ne fait même pas dans les milions, tout juste dans les milliers), il y a peu de monde qui empoche quelque contrepartie que ce soit pour soutenir ces idées…

Au niveau sécurité je ne suis pas un expert mais ne sait-on jamais, une idée comme ça, de vérifier soigneusement le mode d’accès unix des fichiers sur ton serveur à l’aide de filezilla par exemple… Juste au cas où, Cordialement smile

85.  Bob | 3/05/2012 @ 16:01 Répondre à ce commentaire

Mihai V (#82),

Dans le code source de la page, on retrouve également un long script exotique inséré à la ligne 84.

Pssshhhhiittt : Il a encore disparu !
Il y a peut-être un moyen d’écrire un petit script qui le fait disparaître automatiquement, ou, plutôt, en interdit l’écriture.

86.  Mihai V | 3/05/2012 @ 18:30 Répondre à ce commentaire

Bob (#85),
Oui, le script n’est pas resté plus d’une heure.
Mais j’ai eu la présence d’esprit de le copier pour le comparer à l’autre.

Quel est « l’homme derrière le rideau » qui l’a retiré cette fois ?

87.  Mihai V | 3/05/2012 @ 18:59 Répondre à ce commentaire

julien (#84),

Correction :

Depuis 13h38 AVG Linkscanner me signale une menace bloquée Blackhole Exploit Kit (type 2146), alors que la précédente était du type 2160.

La dernière détection d’après l’historique d’AVG a eu lieu à 14h29.

88.  Bob | 3/05/2012 @ 19:26 Répondre à ce commentaire

Mihai V (#86),

Quel est “l’homme derrière le rideau” qui l’a retiré cette fois ?

AMHA
La « machine » le remet. le virus est capable de faire ça sans problème s’il est rentré dans Skyfall.
Puis un homme (ou une femme ) le retire….
Un peu mystérieux, tout ça.

89.  mikeg | 5/05/2012 @ 21:56 Répondre à ce commentaire

Bsr le webmaster,

Je viens de faire le tour de vos menaces en cours; je vous suggère de détruire le fichier suivant:

http://skyfall.free.fr/images/ecx.ico et si possible bloquer à l’avenir tous les smilies …

Si cela peut vous aider,
amicalement .

90.  Mihai V | 5/05/2012 @ 22:23 Répondre à ce commentaire

mikeg (#89),

Affirmations gratuites -> poubelle (copyright Minitax)

Qui êtes-vous donc pour faire ces recommandations ?

91.  mikeg | 5/05/2012 @ 22:27 Répondre à ce commentaire

J’avais oublié:
– peut être une piste :

Votre fichier actuel ???

http://dl.free.fr/jbReK09Od

92.  Mihai V | 6/05/2012 @ 0:22 Répondre à ce commentaire

mikeg (#91),

Votre lien ne donne rien. Il devrait permettre de télécharger un fichier Capture1.jpg de 165.3 Ko. Mais la validation CAPTCHA ne fonctionne pas.

De qui vous moquez-vous ?

93.  mike | 6/05/2012 @ 9:01 Répondre à ce commentaire

Dommage, il s’ouvre parfaitement pour moi … Je vous laisse donc à votre triste sort puisque le vous le prenez d’un peu trop haut !>>> décidément vous êtes plus septique que je n’imaginais.

94.  Mihai V | 6/05/2012 @ 9:50 Répondre à ce commentaire

mike (#93),

Dommage …pour vous. Vos tentatives de faire l’intéressant tombent à plat.

Je ne suis pas septique (comme la fosse). Il se trouve que je me suis occupé de sécurité informatique et de désinfection de PC pendant des années.

95.  Clem | 6/05/2012 @ 12:49 Répondre à ce commentaire

Mihai V (#94), Bah quoi, c’est bien connu que les smileys contiennent des virus, non ? smile

96.  Mihai V | 6/05/2012 @ 16:10 Répondre à ce commentaire

Clem (#95),

+1

Mike alias mikeg, sorti de nulle part, voudrait jouer à l’expert en désinfection de fichiers à distance, sans même avoir besoin d’un accès aux fichiers de WordPress sur le serveur d’OVH. Il doit avoir des dons de voyant extra-lucide.

Ça vaut la peine de jeter un œil sur le fichier ecx.ico qu’il conseille de supprimer. En examinant le contenu en hexadécimal, on constate que sur les ~ 1400 caractères, il y a essentiellement des « 00 » sauf dans quelques lignes au début et quelques lignes près de la fin. Mais rien qui ressemble à un code caché dangereux, dans ce fichier présent depuis très longtemps sur Skyfall.

97.  miniTAX | 6/05/2012 @ 16:57 Répondre à ce commentaire

je vous suggère de détruire le fichier suivant:
http://skyfall.free.fr/images/ecx.ico

Un troll qui veut détruire l’image de l’euro, ça mérite quand même d’être signalé.
Et puis le coup du « bloquez tous les smilies », c’est carrément 😛 😛 😛 somptueux 😛 😛 😛
C’est ce qu’on appelle un troll de compète 😛 😛 😛

98.  Patrick Bousquet de Rouvex | 7/05/2012 @ 0:14 Répondre à ce commentaire

nouvelle alerte virus ce soir, avec un nouveau nom d’origine !

99.  Mihai V | 7/05/2012 @ 0:36 Répondre à ce commentaire

Patrick Bousquet de Rouvex (#97),

Effectivement. Mais le script inséré à la ligne 84 du code source a un air de famille.
J’avais parlé d’un code hexa. Ce n’est pas le cas . Il s’agit d’une liste de codes séparés ici par des caractères ‘c’. Dans les menaces précédentes, on a eu des ‘b’ puis des ‘#’ comme séparateur.

100.  Laurent Berthod | 8/05/2012 @ 10:42 Répondre à ce commentaire

Une fois encore ça recommence !

Sorry, the comment form is closed at this time.