pensez vous que la faille de sécurité évoquée dans cet article : http://www.mactouch.com/breve.php?id_breve=0875, a un rapport avec notre fichier " in.php" ?
Téléchargement étrange
- Créateur du sujet kathy h
- Date de début
kathy h a dit:
non, car le code dans le in.php n'est pas du javascript !!!
bonsoir, au fait, Kathy h !!!
kathy h a dit:
Vu que dans Safari, on peut bloquer les pop ups, y a k'a en user, moi, c'est fait depuis le premier jour que je l'utilise.
kathy h a dit:
A priori, non. S'il y en avait eu un, in.php ne serait pas resté sur ton bureau.
suite au mail que j'avais adressé au site macenligne pour le prévenir que le fichier in.php se téléchargeait automatiquement sur son site il m'a été répondu :
"oui j'ai constaté ce probleme et je suis entrain de compulser les codes du site pour le faire disparaitre mais compte tenu de la taille du cadage j'en ai pour un petit moment.
En revanche php ne permets pas vraiment de corrompre les machine donc à mon avis il n'y a pas trop de souci mais je continu à chercher et dans le doute je'effacerai tout le site pour le remettre en ligne
Merci
Philippe"
Je lui ai envoyé un nouveau mail pour l'informer que le problème était, pour l'instant résolu et que cela était lié au fait que le lien via le nom de domaine barasos était mort voici sa 2ème réponse:
"En fait, le site du macenligne comme beaucoup d'autre etait installé avec l'interface PHP Nuke il n'était donc pas impossible que le souci venait d'une "faille" de développement dans ce dernier mais si le problème est résolu c'est parfait ca va m'éviter de perdre beaucoup de temps !!
Merci
Philippe"
"oui j'ai constaté ce probleme et je suis entrain de compulser les codes du site pour le faire disparaitre mais compte tenu de la taille du cadage j'en ai pour un petit moment.
En revanche php ne permets pas vraiment de corrompre les machine donc à mon avis il n'y a pas trop de souci mais je continu à chercher et dans le doute je'effacerai tout le site pour le remettre en ligne
Merci
Philippe"
Je lui ai envoyé un nouveau mail pour l'informer que le problème était, pour l'instant résolu et que cela était lié au fait que le lien via le nom de domaine barasos était mort voici sa 2ème réponse:
"En fait, le site du macenligne comme beaucoup d'autre etait installé avec l'interface PHP Nuke il n'était donc pas impossible que le souci venait d'une "faille" de développement dans ce dernier mais si le problème est résolu c'est parfait ca va m'éviter de perdre beaucoup de temps !!
Merci
Philippe"
kathy h a dit:
Voilà comment on contourne le problème
surtout quand on n'a pas beaucoup de temps...
J'avais également écrit à un site mac ,( à ce moment le fichier in.php se téléchargeait encore sur mon bureau ) je ne sais plus lequel ; pour les informer de ce problème, voici la réponse que j'ai reçu ce jour:
"J'ai bien réceptionné votre message.
Effectivement le fichier in.php est un script malin. Il ne correspond pas à du
code PHP mais du code Vbscript destiné à des plateformes Windows ou autres
plateformes munies d'interpréteurs (.....).
A priori pas de risques sur un Mac OS X ou sur du Linux.
A vue de nez, je pense qu'à travers une des pages HTML ou du code RSS (pour
les news)..... un chargeur recupère le code malin in.php et le charge sur la
machine ou modifie la configuration du navigateur de manière à ce que le
script soit utilisé par le dit navigateur.
Afin de pouvoir remonter plus en amont dans le processus de propagation sur
votre micro ordinateur, j'ai besoin de connaître une des adresses de site qui
provoque le phénomène.
Veuillez agréer, l'expression de mes sentiments respectueux.
Emmanuel MANCIET."
"J'ai bien réceptionné votre message.
Effectivement le fichier in.php est un script malin. Il ne correspond pas à du
code PHP mais du code Vbscript destiné à des plateformes Windows ou autres
plateformes munies d'interpréteurs (.....).
A priori pas de risques sur un Mac OS X ou sur du Linux.
A vue de nez, je pense qu'à travers une des pages HTML ou du code RSS (pour
les news)..... un chargeur recupère le code malin in.php et le charge sur la
machine ou modifie la configuration du navigateur de manière à ce que le
script soit utilisé par le dit navigateur.
Afin de pouvoir remonter plus en amont dans le processus de propagation sur
votre micro ordinateur, j'ai besoin de connaître une des adresses de site qui
provoque le phénomène.
Veuillez agréer, l'expression de mes sentiments respectueux.
Emmanuel MANCIET."
http://barasos.com/traffic/js/blabla.php
il s'est téléchargé tout seul le saligot !!!! sur l'iBook de ma femme, pendant que je surfais bien gentiment sur mon blog
il s'est téléchargé tout seul le saligot !!!! sur l'iBook de ma femme, pendant que je surfais bien gentiment
sur mon blog
daffyb a dit:http://barasos.com/traffic/js/blabla.php
il s'est téléchargé tout seul le saligot !!!! sur l'iBook de ma femme, pendant que je surfais bien gentiment
Quoi? il est revenu le salopiot ( pour changer )
:o :o
et c'est quoi ce lien que tu nous donnes? l'adresse qu tu as obtneue en faisant un ctrl clic sur le fichier téléchargé?
sur quel site étais tu ?
Voilà le fichier "in php" est revenu sur le site de macenligne. http://www.lemacenligne.com/
Il est vrai que maintenant que je suis sous tiger je peux refuser le téléchargement, c'est déjà ça ...
j'ai donc écris de nouveau à Macenligne et aussi au site linuxbsd site sur lequel il parlent de virus mais pour linux, je leur avais déjà écris et il m'avait répondu tres gentiment ceci :
voici leur Mail du 26 juin :
"j'ai bien réceptionné votre message.
Effectivement le fichier in.php est un script malin. Il ne correspond pas à du
code PHP mais du code Vbscript destiné à des plateformes Windows ou autres
plateformes munies d'interpréteurs (.....).
A priori pas de risques sur un Mac OS X ou sur du Linux.
A vue de nez, je pense qu'à travers une des pages HTML ou du code RSS (pour
les news)..... un chargeur recupère le code malin in.php et le charge sur la
machine ou modifie la configuration du navigateur de manière à ce que le
script soit utilisé par le dit navigateur.
Afin de pouvoir remonter plus en amont dans le processus de propagation sur
votre micro ordinateur, j'ai besoin de connaître une des adresses de site qui
provoque le phénomène."
Si vous êtes sur PC méfiance donc
Il est vrai que maintenant que je suis sous tiger je peux refuser le téléchargement, c'est déjà ça ...
j'ai donc écris de nouveau à Macenligne et aussi au site linuxbsd site sur lequel il parlent de virus mais pour linux, je leur avais déjà écris et il m'avait répondu tres gentiment ceci :
voici leur Mail du 26 juin :
"j'ai bien réceptionné votre message.
Effectivement le fichier in.php est un script malin. Il ne correspond pas à du
code PHP mais du code Vbscript destiné à des plateformes Windows ou autres
plateformes munies d'interpréteurs (.....).
A priori pas de risques sur un Mac OS X ou sur du Linux.
A vue de nez, je pense qu'à travers une des pages HTML ou du code RSS (pour
les news)..... un chargeur recupère le code malin in.php et le charge sur la
machine ou modifie la configuration du navigateur de manière à ce que le
script soit utilisé par le dit navigateur.
Afin de pouvoir remonter plus en amont dans le processus de propagation sur
votre micro ordinateur, j'ai besoin de connaître une des adresses de site qui
provoque le phénomène."
Si vous êtes sur PC méfiance donc
On retrouve les même saloperies quand on surf sur http://astalavista.box.sk .... un vrai nid a virus
BigEdison a dit:
Et bien il faut leur écrire, c'est ce que j'avais fait avec macenligne et là je viens de leur écrire de nouveau.
BigEdison a dit:
La différence avec Macenligne, c'est que quand on surfe la dessus, on ne doit pas avoir la conscience tranquille, qu'un site dédié au piratage informatique véhicule des virus n'a rien de surprenant. :hein:
Comme je vous l'expliquais dans mon dernier post j'ai écris à macenligne qui n'a toujours pas répondu mais j'ai également écris au site "linuxbsd" , site qui parle des virus sous linux et voici sa réponse, qui comme à chaque fois est détaillée, c'est vraiment agréable des personnes qui prennent le temps de vous répondre gentiment et de vous expliquer les choses.
voici son Mail en entier, je n'ai rien ajouté ni rien enlevé :
"J'ai lu les nouvelles infos sur votre forum.
Les compléments fournis confirme ce que je craignais : une
propagation/transmission par javascript....
Le nom traffic me fait penser à des portions de code que l'on pourrait
utiliser par affiliation pour faire des statistiques sur un site internet :
le distributeur du code mâlin, distribuant en façade son code de statistiques
pour site internet.
J'ai vu la portion de code javascript envoyée par un ou une participante.
Il s'agit d'une fonction de cryptage/décryptage (pour faire simple et ne pas
entrer dans les détails) et du code à décrypter que l'on lui transmet.
En gros notre "méchant" propage son code crypté, pour le masquer à la vue des
antivirus associés aux navigateurs.
Le code est décrypté à la volée et exécuté (instruction javascript très connue
des programmeurs document.write(r) qui va écraser le code de la page
originellement chargée par un nouveau code qui sera exécuté par le navigateur
et conduira le navigateur sur le code malin).
Cette méthode "classique" utilisée en javascript servait autrefois à protéger
l'accès à des sites par introduction de la bonne clef de décryptage avec
redirection du client vers la partie protégée d'un site (Par exemple un
intranet).
Elle a malheureusement était ici détournée.... à des fins, par forcément
louables.
Evidemment le programme javascript de base est disponible sur un nombre
considérable de sites internet sur javascript ou le développement Web.
Malheureusement, pour aller plus loin, il faudrait :
1) posséder les pages internets cotées en références mais non accessible
2) analyser les pages incriminée afin de voir s'il n'y a pas autre chose en
plus que le code déjà publié sur votre forum
3) intercepter avant exécution le code crypté mais décrypté....
Vraisemblablement sous panther, nous faisons face à une mauvaise configuration
autorisant par défaut le téléchargement sans intervention de l'utilisateur.
Essayer de voir s'il est possible de modifier cela dans les options.
CONSEIL :
- Neutraliser javascript, en interdisant son exécution dans le navigateur.
- Paramétrer le navigateur, pour le contrôle de l'éxécution de certaines
fonctionnalités de javascript
Avez-vous essayé de reproduire et/ou contrôler le phénomène en utilisant le
navigateur mozilla (http://www.mozilla.org) ?
J'utilise Mozilla sous Linux, je peux neutraliser complètement ou pour partie
les fonctionnalités de javascript.
Il existe également le navigateur firefox (un mozilla amélioré).
En espérant que ces quelques lignes comblent certaines portions d'ombre
entourant vos soucis informatiques....
J'ai lu votre article :
http://www.macgestion.com/news/24.shtml
Le phénomène viral dont vous êtes victime est-il cantonné à la région
Versaillaise (noeud important de l'internet français) ?
Frappe-t-il plusieurs internautes dans le même secteur ?
Avez-vous attiré l'attention de votre fournisseur d'accès internet, afin qu'il
mette en place des dispositif ou une vigilance vis à vis de ce type d'attaque
informatique ?
A vous lire.
Emmanuel MANCIET.
Ingénieur
Etudiant en Global Management
P.S. : joint ci-dessous les réponses à l'interrogation de la base
d'enregistrement de domaine sur le domaine BARASOS.COM
C'est quand même drôle qu'un nom de domaine déposé en février 2005 subisse des
modifications en mai 2005.....
======================================================================
whois barasos.com
Whois Server Version 1.3
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: BARASOS.COM
Registrar: SCHLUND+PARTNER AG
Whois Server: whois.schlund.info
Referral URL: http://registrar.schlund.info
Name Server: NS1.IT-HOST.ORG
Name Server: NS2.IT-HOST.ORG
Status: ACTIVE
Updated Date: 22-feb-2005
Creation Date: 22-feb-2005
Expiration Date: 22-feb-2006 "
voilà fin du Mail reçu
voici son Mail en entier, je n'ai rien ajouté ni rien enlevé :
"J'ai lu les nouvelles infos sur votre forum.
Les compléments fournis confirme ce que je craignais : une
propagation/transmission par javascript....
Le nom traffic me fait penser à des portions de code que l'on pourrait
utiliser par affiliation pour faire des statistiques sur un site internet :
le distributeur du code mâlin, distribuant en façade son code de statistiques
pour site internet.
J'ai vu la portion de code javascript envoyée par un ou une participante.
Il s'agit d'une fonction de cryptage/décryptage (pour faire simple et ne pas
entrer dans les détails) et du code à décrypter que l'on lui transmet.
En gros notre "méchant" propage son code crypté, pour le masquer à la vue des
antivirus associés aux navigateurs.
Le code est décrypté à la volée et exécuté (instruction javascript très connue
des programmeurs document.write(r) qui va écraser le code de la page
originellement chargée par un nouveau code qui sera exécuté par le navigateur
et conduira le navigateur sur le code malin).
Cette méthode "classique" utilisée en javascript servait autrefois à protéger
l'accès à des sites par introduction de la bonne clef de décryptage avec
redirection du client vers la partie protégée d'un site (Par exemple un
intranet).
Elle a malheureusement était ici détournée.... à des fins, par forcément
louables.
Evidemment le programme javascript de base est disponible sur un nombre
considérable de sites internet sur javascript ou le développement Web.
Malheureusement, pour aller plus loin, il faudrait :
1) posséder les pages internets cotées en références mais non accessible
2) analyser les pages incriminée afin de voir s'il n'y a pas autre chose en
plus que le code déjà publié sur votre forum
3) intercepter avant exécution le code crypté mais décrypté....
Vraisemblablement sous panther, nous faisons face à une mauvaise configuration
autorisant par défaut le téléchargement sans intervention de l'utilisateur.
Essayer de voir s'il est possible de modifier cela dans les options.
CONSEIL :
- Neutraliser javascript, en interdisant son exécution dans le navigateur.
- Paramétrer le navigateur, pour le contrôle de l'éxécution de certaines
fonctionnalités de javascript
Avez-vous essayé de reproduire et/ou contrôler le phénomène en utilisant le
navigateur mozilla (http://www.mozilla.org) ?
J'utilise Mozilla sous Linux, je peux neutraliser complètement ou pour partie
les fonctionnalités de javascript.
Il existe également le navigateur firefox (un mozilla amélioré).
En espérant que ces quelques lignes comblent certaines portions d'ombre
entourant vos soucis informatiques....
J'ai lu votre article :
http://www.macgestion.com/news/24.shtml
Le phénomène viral dont vous êtes victime est-il cantonné à la région
Versaillaise (noeud important de l'internet français) ?
Frappe-t-il plusieurs internautes dans le même secteur ?
Avez-vous attiré l'attention de votre fournisseur d'accès internet, afin qu'il
mette en place des dispositif ou une vigilance vis à vis de ce type d'attaque
informatique ?
A vous lire.
Emmanuel MANCIET.
Ingénieur
Etudiant en Global Management
P.S. : joint ci-dessous les réponses à l'interrogation de la base
d'enregistrement de domaine sur le domaine BARASOS.COM
C'est quand même drôle qu'un nom de domaine déposé en février 2005 subisse des
modifications en mai 2005.....
======================================================================
whois barasos.com
Whois Server Version 1.3
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: BARASOS.COM
Registrar: SCHLUND+PARTNER AG
Whois Server: whois.schlund.info
Referral URL: http://registrar.schlund.info
Name Server: NS1.IT-HOST.ORG
Name Server: NS2.IT-HOST.ORG
Status: ACTIVE
Updated Date: 22-feb-2005
Creation Date: 22-feb-2005
Expiration Date: 22-feb-2006 "
voilà fin du Mail reçu
Bravo Kathy... :zen:
C'est très inquiétant quand même, mais c'est très logique. Perso, c'est une des méthodes que j'utilise pour envoyer des exécutables par mail à mes clients... En gros, si tu envoi un exécutable, tu as 99.9% de chance que la pièce jointe soit interceptée, voire éliminée automatiquement.
Dans certains cas, il suffit de "zipper" l'exécutable pour fausser les antivirus. Mais certains antivirus décompresse automatiquement et scanne le contenu... Pour la majorité d'antivirus, ça peut passer puis qu'il ne s'agit pas d'un virus. Mais parfois ça peut quand même coincer
Dernière solution dans ce cas c'est de crypter l'exécutable envoyé et le décrypter à l'arrivée... là je dirai que ça passe à 99.9%
Et apparemment c'est cette dernière méthode qui a été utilisée pour camoufler les codes malins dans le script... fallait s'y attendre...
VIVE OS X
C'est très inquiétant quand même, mais c'est très logique. Perso, c'est une des méthodes que j'utilise pour envoyer des exécutables par mail à mes clients... En gros, si tu envoi un exécutable, tu as 99.9% de chance que la pièce jointe soit interceptée, voire éliminée automatiquement.
Dans certains cas, il suffit de "zipper" l'exécutable pour fausser les antivirus. Mais certains antivirus décompresse automatiquement et scanne le contenu... Pour la majorité d'antivirus, ça peut passer puis qu'il ne s'agit pas d'un virus. Mais parfois ça peut quand même coincer
Dernière solution dans ce cas c'est de crypter l'exécutable envoyé et le décrypter à l'arrivée... là je dirai que ça passe à 99.9%
Et apparemment c'est cette dernière méthode qui a été utilisée pour camoufler les codes malins dans le script... fallait s'y attendre...
VIVE OS X
NightWalker a dit:Bravo Kathy... :zen:
VIVE OS X
ce n'est pas à moi qu'il faut dire bravo mais à l'auteur du Mail.
il fait dire que sur ce point je me suis acharnée depuis le tout début de l'apparition de ce fichier sur mon bureau quand j'étais sous panther.
je voulais comprendre pourquoi et comment.
en tout cas safari sous panther a donc une lacune : l'impossibilté de refuser les javascript alors que c'est possible sous d'autre Navigateur.
sous tiger je pense que si on peut refuser le téléchargement de ce type de fichier ce n'est pas grâce à safari mais grâce à Dashboard ( indirectement ) puisqu'on a jouté une sécurité pour empêcher l'installation sans notre accord d'un widget.
EDIT : JE VIENS d'apprendre en allant sur le site de macenligne : qu' ils ont réagi à mon Mail car le site est hors-ligne le temps de faire l'upgrade de PHPnuke -voir leur page d'accueil.
C'est vrai... mais c'est aussi ton initiativekathy h a dit:
En tout cas, si M Manciet passe par ici...
