Bonjour,
je visite un site que j'apprécie, "programmetv.com" et à chaque première visite je suis aspiré sur un site parasite russe qui enclenche mon AV.
je ne vois pas comment questionner le modérateur.
j'ai essayé avec I.E et j'utilise firefox même résultat
un pro ?
Pirate russe
Modérateur: Barbapapa
13 message(s)
• Page 1 sur 1
Pirate russe
par slimadsl » 17 Juil 2008 17:18
-
slimadsl - Habitué
- Message(s) : 870
- Inscription : 24 Mai 2005 11:47
- Localisation : Liège environs
par tetsuo » 17 Juil 2008 17:40
Salut,
Pas de problème non plus a l'ouverture du site.
Il doit peut-être comme le dit Slimadsl avoir une crasse sur ta machine.
Testé avec IE et FF3.0.
Pas de problème non plus a l'ouverture du site.
Il doit peut-être comme le dit Slimadsl avoir une crasse sur ta machine.
Testé avec IE et FF3.0.
Dis moi qui tu fréquentes, je te dirais qui tu es 
-
tetsuo - Habitué
- Message(s) : 320
- Inscription : 25 Sep 2001 02:00
- Localisation : Liège
par Dr_Dan » 17 Juil 2008 17:52
Voila ce qui arrive quand on visite des sites subversifs.. 
Se tromper est humain ; Vraiment foutre la merde necessite le mot de passe de root.
La bonne parole ne se propage jamais mieux qu'à grands coups de baffes....
La bonne parole ne se propage jamais mieux qu'à grands coups de baffes....
-
Dr_Dan - Habitué
- Message(s) : 963
- Inscription : 20 Sep 2006 10:08
- Localisation : https://www.ostbelgien.eu
Re: Pirate russe
par aurelie M » 17 Juil 2008 18:18
slimadsl a écrit :Bonjour,
je visite un site que j'apprécie, "programmetv.com" et à chaque première visite je suis aspiré sur un site parasite russe qui enclenche mon AV.
je ne vois pas comment questionner le modérateur.
j'ai essayé avec I.E et j'utilise firefox même résultat
un pro ?
moi j'utilise
www.programme-tv.net
mais c kif kif
programmetv.com s'ouvre chez moi sans aucune pub
"manoeuvre téméraire et vexatoire"
L'anonymat n'est pas incompatible avec la courtoisie et le respect de chacun.« Lorsqu'une loi est enfreinte par l'ensemble de la population c'est la loi qui est stupide, pas le peuple. »
L'anonymat n'est pas incompatible avec la courtoisie et le respect de chacun.« Lorsqu'une loi est enfreinte par l'ensemble de la population c'est la loi qui est stupide, pas le peuple. »
-
aurelie M - Acharné
- Message(s) : 4654
- Inscription : 01 Oct 2005 16:11
- Localisation : scarlet trio
par Scheduler » 17 Juil 2008 18:38
Dr_Dan a écrit :Voila ce qui arrive quand on visite des sites subversifs..
Rien avoir, je te conseille de lire l'article du MISC numéro 37, il est tout à fait possible de pirtaer un serveur web officiel pendant son fonctionnement, d'y injecter du code et ainsi tout les news user qui viendrait s'y connecté excécuteraient du code malveillant et ainsi ce faire infecté.
Et je te parle bien de site qui ont pignon sur rue.
http://www.phrack.org/issues.html?issue=59&id=8#article
http://www.phrack.org/issues.html?issue=62&id=10#article
Les chercherus de la compagnie SecureWorks ont analysé le contenu d'un serveur qui a été piraté. Ils en sont venus à la conslusion qu'une fois les pirates en contrôle du serveur, ils injectent leur code malicieux dans le processus d'apache.
Ces instructions sont utilisées pourr charger un shared object pour que le processus distribue des pages web modifiées qui tentent d'installer un malware sur l'ordinateur des visiteurs.
En d'autres mots, les fichiers n'ont pas été installé sur le disque dur du serveur. Le contenu malicieux qui a été ajouté aux pages web est plutôt généré dynamiquement. Il ne touche jamais le disque du serveur piraté. Les fichiers sont envoyés, à partir de la mémoire du processus d'Apache, directement au client.
Le code injecté a donc modifié la liste des hôtes virtuels dans la mémoire pour insérer un javascript malicieux.
L'ajout est minim, généralement dans le milieu de la page principale HTML, et ressemble à ceci
<script language='JavaScript' type='text/javascript' src='tfaxb.js'></script>
Cette balise de code javascript indique au navigateur internet qu'il doit faire une seconde requête sur le serveur pour télécharger et excécuter un javascript. A chaque requête, le nom du fichier javascript change, rendant l'analyse et la détection de l'infection plus difficile.
Bref de la haute voltige.
Quelle est la différence entre GNU/Linux et Windows? GNU/Linux à un noyau, Windows à des pépins.
- Scheduler
- Acharné
- Message(s) : 1870
- Inscription : 07 Déc 2007 14:40
par Dr_Dan » 17 Juil 2008 18:54
Scheduler> Ce que tu cites, est un cas exceptionnel.
Il y a plus de chances de se faire avoir sur un site subversif que sur un site qui a pignon sur rue.
Il y a plus de chances de se faire avoir sur un site subversif que sur un site qui a pignon sur rue.
Se tromper est humain ; Vraiment foutre la merde necessite le mot de passe de root.
La bonne parole ne se propage jamais mieux qu'à grands coups de baffes....
La bonne parole ne se propage jamais mieux qu'à grands coups de baffes....
-
Dr_Dan - Habitué
- Message(s) : 963
- Inscription : 20 Sep 2006 10:08
- Localisation : https://www.ostbelgien.eu
par Scheduler » 17 Juil 2008 19:02
Oui vraiment ca n'arrive pas souvent, au mois de Janvier des dizaine de site on subit ce type d'attaque.
http://www.theregister.co.uk/2008/01/11/mysterious_web_infection/
Cela montre bien les nouveaux types d'attaques.
http://www.theregister.co.uk/2008/01/11/mysterious_web_infection/
Cela montre bien les nouveaux types d'attaques.
Quelle est la différence entre GNU/Linux et Windows? GNU/Linux à un noyau, Windows à des pépins.
- Scheduler
- Acharné
- Message(s) : 1870
- Inscription : 07 Déc 2007 14:40
par slimadsl » 17 Juil 2008 19:46
Bonsoir, je ne vois rien sur ma machine après # analyses, la dernière fois j'ai suivi la trace avec NTX qui me conduit à "St Petersbourg" Page = "télécharger l'antivirus vista"
avec une demande de télécharger ou installer
Me suis inscrit sur programme tv.net
avec une demande de télécharger ou installer
Me suis inscrit sur programme tv.net
-
slimadsl - Habitué
- Message(s) : 870
- Inscription : 24 Mai 2005 11:47
- Localisation : Liège environs
par ZigZig » 19 Juil 2008 16:51
Scheduler a écrit :Oui vraiment ca n'arrive pas souvent, au mois de Janvier des dizaine de site on subit ce type d'attaque.
http://www.theregister.co.uk/2008/01/11/mysterious_web_infection/
Cela montre bien les nouveaux types d'attaques.
A chaque début d'année, de nombreux sites se font défacer, c'est une sorte de "concours" de hackers, pour celui-qui qui défacera le plus de sites.
Le défaçage ne concerne que les pages par défaut (index.htm, default.asp, etc.), et uniquement si elles ne sont pas marquées "read-only".
Enfin, lorsqu'une page à été défacée, elle ne le sera plus à l'avenir.
Cela dit, je ne sais pas si c'est l'explication du problème de slimadsl... C'est juste un complément d'infos au message de Scheduler.
J'ai un souci avec le VDSL2, mais Chuck Nourrice prie pour moi.
- ZigZig
- Habitué
- Message(s) : 603
- Inscription : 09 Jan 2007 14:22
- Localisation : Bruxelles 1030
par Scheduler » 20 Juil 2008 18:44
On parle de défaçage, si tu vas voir les liens plus hauts c'est vraiment un peu plus complexe que le simple défaçage de site.
http://www.phrack.org/issues.html?issue=59&id=8#article
http://www.phrack.org/issues.html?issue=62&id=10#article
http://www.phrack.org/issues.html?issue=59&id=8#article
http://www.phrack.org/issues.html?issue=62&id=10#article
Quelle est la différence entre GNU/Linux et Windows? GNU/Linux à un noyau, Windows à des pépins.
- Scheduler
- Acharné
- Message(s) : 1870
- Inscription : 07 Déc 2007 14:40
13 message(s)
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit