Infection Exploit Rogue MCOS type 1041
skoid
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
je n'arrive pas a me débarrassé d'un malware ou d'un DNS changer (Exploit Rogue MCOS type 1041)
voici mon problème:
je me connecte sur mon site (c'est une page de test pour voir)
http://www.aquanativa.com.br/test/index.html
mais je suis automatiquement rediriger vers une page avec 4 w:
wwww.collagesite/ ... www.aquanativa.com.br... avec plein d'infos codé
AVG Link Scanner bloque l'attaque mais les autre antivirus spyware ne trouve rien ...
ce malware agit simplement sur ce site, il apparait donc qu'il est loger sur mon serveur et non sur mon ordinateur.
pourtant j'ai tout effacer sur le serveur mais le malmare est encore la ?
quelqu'un a t'il une idée ????
je n'arrive pas a me débarrassé d'un malware ou d'un DNS changer (Exploit Rogue MCOS type 1041)
voici mon problème:
je me connecte sur mon site (c'est une page de test pour voir)
http://www.aquanativa.com.br/test/index.html
mais je suis automatiquement rediriger vers une page avec 4 w:
wwww.collagesite/ ... www.aquanativa.com.br... avec plein d'infos codé
AVG Link Scanner bloque l'attaque mais les autre antivirus spyware ne trouve rien ...
ce malware agit simplement sur ce site, il apparait donc qu'il est loger sur mon serveur et non sur mon ordinateur.
pourtant j'ai tout effacer sur le serveur mais le malmare est encore la ?
quelqu'un a t'il une idée ????
A voir également:
- Infection Exploit Rogue MCOS type 1041
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Clear type - Guide
- Type de ram - Guide
- Comment changer le type de fichier - Guide
- Click-n-type - Télécharger - Vie quotidienne
4 réponses
Salut,
Classique.
réponse de ton serveur - un beau HTTP 302 pour ammener le commun des mortels vers la mort numérique de leur PC :
cf : https://forum.malekal.com/viewtopic.php?t=26095&start=
PS : sympa le contenu du site :s
Edit : modification liens.
Them crooked vultures this evening :D
Classique.
malekalmorte@MaK-tux:/tmp$ curl -s "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" --header "Accept-Language: en-us,en;q=0.5" --header "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7" --header "Keep-Alive: 300" --header "Connection: keep-alive" --header "Expect: " --user-agent "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.7) Gecko/20100105 Shiretoko/3.5.7" -e www.google.fr [hxxp://www.aquanativa.com.br/.htaccess]
réponse de ton serveur - un beau HTTP 302 pour ammener le commun des mortels vers la mort numérique de leur PC :
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="[hxxp://wwww.collagesite.org/main.php?i=Jc2rjdscov2njxj+UMdBwpEZ&e=3]">here</a>.</p> <hr> <address>WebServerX Server at www.aquanativa.com.br Port 80</address> </body></html>
cf : https://forum.malekal.com/viewtopic.php?t=26095&start=
PS : sympa le contenu du site :s
Edit : modification liens.
Them crooked vultures this evening :D
Le .htaccess a été mis à jour, il pointe maintenant vers : hxtp://wiki.phoenixinsurancebrokers.com
Ca veut dire qu'ils ont tjrs accès au site.
Vous devriez regarder les logs FTP.
Ca veut dire qu'ils ont tjrs accès au site.
Vous devriez regarder les logs FTP.
Merci beaucoup ...
j'ai effectivement trouvé des htaccess (au moins 4) modifiés, je n'y avais pas fait attention car il n'y avait rien sur le 100 premier ligne,
je pensais que c'etait un htaccess vide crée par le serveur par defaut.
j'ai effacé tout les htaccess et changé les mots de passe FTP et utilisateur "serveur".
merci enormement pour ton aide !!!
Xavier
j'ai effectivement trouvé des htaccess (au moins 4) modifiés, je n'y avais pas fait attention car il n'y avait rien sur le 100 premier ligne,
je pensais que c'etait un htaccess vide crée par le serveur par defaut.
j'ai effacé tout les htaccess et changé les mots de passe FTP et utilisateur "serveur".
merci enormement pour ton aide !!!
Xavier
:)
bonne fin de journée :)
bonne fin de journée :)
dernière conseils/remarques.
Si tu as la main sur le serveur (j'entends serveur dédié où tu gères le pare-feu, style netfilter), tu devrais filtrer le port du FTP en bloquant les IP chinoises, russes, ukrainiennes.
Voir dans la mesure du possible, tout bloquer et ouvrir le port que pour toi et les personnes qui doivent y avoir accès.
FTP est hyper visé sur les serveurs web pour faire ce genre de choses, faut filtrer un max.
Si tu as la main sur le serveur (j'entends serveur dédié où tu gères le pare-feu, style netfilter), tu devrais filtrer le port du FTP en bloquant les IP chinoises, russes, ukrainiennes.
Voir dans la mesure du possible, tout bloquer et ouvrir le port que pour toi et les personnes qui doivent y avoir accès.
FTP est hyper visé sur les serveurs web pour faire ce genre de choses, faut filtrer un max.
