juste là, je veux accéder à solo et voila ce que me répond mon ordinateur :
CitationLe site Web à l'adresse solomoxen.com contient des éléments provenant du site hosotpoyu.creditcybrary.com qui semble héberger des logiciels malveillants. Ces derniers peuvent nuire à votre ordinateur ou agir à votre insu. Le simple fait de visiter un site hébergeant ce type de logiciels peut infecter votre ordinateur.
Pour obtenir des informations détaillées sur les problèmes relatifs à ces éléments, consultez la page Page de diagnostic de navigation sécurisée de Google pour hosotpoyu.creditcybrary.com.
En savoir plus sur la manière de se protéger des logiciels malveillants en ligne
je lui ai bien répondu rien a faire à mon GO (gentil ordinateur), je préfère prévenir...
C'est Wanted Krass qui se venge, je vois pas d'autres raisons.
J'ai eu un truc du même genre :|
Je confirme, j'ai la même... flippant :|
Citation
Avertissement : Visiter ce site peut être préjudiciable à votre ordinateur !
Le site Web à l'adresse solomoxen.com contient des éléments provenant du site hosotpoyu.creditcybrary.com qui semble héberger des logiciels malveillants. Ces derniers peuvent nuire à votre ordinateur ou agir à votre insu. Le simple fait de visiter un site hébergeant ce type de logiciels peut infecter votre ordinateur.
Pour obtenir des informations détaillées sur les problèmes relatifs à ces éléments, consultez la page Page de diagnostic de navigation sécurisée de Google pour hosotpoyu.creditcybrary.com.
En savoir plus sur la manière de se protéger des logiciels malveillants en ligne
Je comprends que la visite de ce site peut être préjudiciable à mon ordinateur.
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://hosotpoyu.creditcybrary.com:8080/IO.js&client=googlechrome&hl=fr
CitationRecommandation fournie par
Navigation sécurisée
Page de diagnostic pour creditcybrary.com
Quel est l'état actuel du site Web creditcybrary.com ?
Ce site est considéré comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.
Une partie de ce site a été répertoriée 1 fois comme générant une activité suspecte au cours des 90 derniers jours.
Que s'est-il passé lorsque Google a visité ce site ?
Sur les 6 pages testées sur ce site au cours des 90 derniers jours, 0 page(s) a (ont) généré le téléchargement et l'installation de programmes malveillants sans l'autorisation de l'internaute. Google a visité ce site pour la dernière fois le 2010-06-12 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2010-06-12.
Malicious software includes 2 exploit(s), 1 scripting exploit(s), 1 trojan(s).
This site was hosted on 1 network(s) including AS16276 (OVH).
Ce site a-t-il servi d'intermédiaire pour la diffusion de programmes malveillants ?
Au cours des 90 derniers jours, creditcybrary.com ne semble pas avoir servi d'intermédiaire pour l'infection de sites Web.
Ce site a-t-il déjà hébergé des programmes malveillants ?
Oui, ce site a hébergé des programmes malveillants au cours des 90 derniers jours. Il a infecté 4 domaine(s), dont e-bilgi.net/, lcwcaz.org/, sandspring.com/.
Comment cela s'est-il produit ?
Dans certains cas, des tiers peuvent ajouter un code malveillant à des sites Web légitimes, ce qui nous amène à afficher le message d'avertissement.
Étapes suivantes :
Revenir à la page précédente.
Si vous êtes le propriétaire de ce site Web, vous pouvez demander une analyse de votre site à l'aide des Outils Google pour les webmasters. Pour plus d'informations sur cette procédure, consultez leCentre d'aide Google pour les webmasters.
Updated 11 hours ago
je suis sur google chrome
ça serait pas ZMX avec son avatar tracker???????? :roll: :roll: :roll: :roll: :roll:
Même message et mêmes infos via Chrome, du coup j'ai fait la maline en accédant au site depuis mon iPhone, mais là Google me refuse mes recherches sous prétexte qu'il semble recevoir des requêtes automatiques depuis mon IP.
quand je suis sous firefox (buntu) j'ai plus le message d'alerte.
Idem :roll:
Sous firefox, je lai jamais eu perso :(
J'ai peur :O
je comprends rien à ce que vous racontez ?
L'antivirus du taf a détecté cela: a mettre en rapport avec les dires de site piraté par d'autre et le chat qui marche pas!:
Bloodhound.Exploit.292 is a heuristic detection for potentially malicious files that may exploit the Oracle JRE Java Platform SE and Java Deployment Toolkit Plugins Code Execution Vulnerabilities (BID 39346).
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2010-041418-2428-99
sur le forum ?
quel url a déclenché l'antivirus ?
J'ai également eu une alerte de virus.
L'URL était :
http://solomoxen.com/forum
je peux pas dire avec exactitude mais je pense que c'est comme wata l'a indiqué
A chaque fois que tu te connectes sur solo ton antivirus te dis qu'il a bloqué une attaque. Le site doit donc avoir un gros problème ;)
On a eu le même type d'attaque sur MTGRA le mois dernier.
La seule solution que nous avons trouvé a été de déplacer le forum puisque l'attaque a recommencé après la première correction.
Alors, en effet le site a été hacké.
Une ligne a été ajoutée à un certain nombre de fichiers, qui fait downloader des trucs qu'on n'a pas envie de downloader.
Je suis en train de faire le ménage de ces lignes.
Par contre, la raison du hack, c'est a priori la version de SMF qui tourne ici, probablement trop vieille et pour laquelle un hack a probablement été releasé.
Il faudrait donc que quelqu'un se colle a mettre à jour SMF ici, car sinon ca va recommencer, à priori relativement rapidement.
Voila, ménage effectué.
Tout devrait remarcher sans problème et notifications pour tous, me faire signe dans le cas contraire.
Si quelqu'un sait parmi les admins comment accéder aux logs HTTP de solo, ca pourrait m'aider à trouver d'ou vient le souci. Ca ne dispense pas de mettre à jour les différetes couches logicielles utilisées sur le site (ca veut dire smf, mais aussi le thème si celui ci a été téléchargé etc.).
Qu'est ce que tu appelle les log http?
Tu veux parler de la conec FTP?
Non, les logs http, les logs du serveur web. J'ai déja la connection ftp, mais il n'y a pas de logs dedans. Ils devraient être accessibles quelque part mais je connais pas bien le mutu chez ovh et je sais pas ou. Ca doit être indiqué je pense dans le mail reçu avec les infos de connectivité sur la machine envoyé par ovh.
tu cherches à savoir comment il a cracké le forum ?
C'est un bot qui a hacké, ou c'est un random connard ?
Oui je cherche a savoir, pour voir ce qui n'est pas up-to-date.
Je peux pas dire à ce stade d'ou ca vient précisément sans accéder aux logs HTTP.
C'est un bot, c'est quasiment toujours des bots.
C'est pour ca que mettre a jour asap est nécessaire, parcequ'a priori, il va revenir.
en tout cas il n'y a plus de problème d'attaque de virus ;)
Je sais pas si quelqu'un afit ca de temps en temps, mais j'en profite pour suggérer un backup de la DB et des fichiers, c'est toujours bien en cas de pépin.
dans le doute c'est forcément ZMX :mrgreen:
Je ne peux toujours pas y accéder à partir de google chrome :|
Tu as essayé de forcer le rafraichissement de la page (ctrl+F5) ?
Tu as un message spécifique ?
Oui j'ai raffraichi.
Ca me dit juste que le site est piraté et hop il ferme chrome.
Il doit avoir été blacklisté dans tes options de chrome.
Essayes de trouver les settings de sécurité et de voir si tu peux enlever solo de la liste noire, puis réessayes.
J'vois rien dans ma sécurité.
Ca marche toujours pas.
Ya que pour moi que ça coince ? :?
moi, ca marche bien :/
Citation de: Cow_Cow le 16 Juin 2010, 21:24:46
J'vois rien dans ma sécurité.
Ca marche toujours pas.
Ya que pour moi que ça coince ? :?
Oui, mais c'est normal, tu es une fille :P
Et alors ? Chez moi ça marche :P
puis c'est bizarre que ton Chrome quitte tout seul, le mien me demande toujours si je veux poursuivre ou pas.
Pou info, le même souci a été détecté sur le site Cityvox il y a quelques jours, ça a l'air d'une faille relativement récente (ou exploitée relativement récemment).
Du coup, ça a eu un impact sur les ordis qui ont accédé au site ou pas (moi m'en fous, suis sur mac :P) ?
sur mac probablement pas, sur les PC sous windows avec un java runtime installé, peut être.
Je sais pas moi je désactive toujours java dans le browser.
ouais enfin t'es suisse....
:mrgreen:
Citation de: Sophia le 17 Juin 2010, 13:34:48
Et alors ? Chez moi ça marche :P
Quoi, tu es une fille? :o
Citation de: Sophia le 17 Juin 2010, 13:34:48
puis c'est bizarre que ton Chrome quitte tout seul, le mien me demande toujours si je veux poursuivre ou pas.
Peut-être bizare mais réel !!
Le mien demande rien, il ferme la fenêtre et redémarre sur la page d'accueil.
Citationouais enfin t'es suisse....
Je suis PAS Suisse !
Enfin, on verra le résultat de ce soir, je vous redis après.
bah un peu qd mm :)
Citation de: quentin le 17 Juin 2010, 17:40:53
Citationouais enfin t'es suisse....
Je suis PAS Suisse !
Enfin, on verra le résultat de ce soir, je vous redis après.
Hop Suisse !
Bon, apparemment ça recommence, le site incriminé étant cette fois aospfpgy.dogplaystation.com
En effet il semble qu'il y a eu d'autres trucs. La date de l'attaque sur certains fichiers était le 2010-06-13 21:04 mais d'autres fichiers semblent avoir été modifiés depuis.
Comme je l'ai dit, ca recommencera jusqu'à ce que le logiciel fautif soit mis à jour.
Je peux pas identifier ce logiciel sans un accès aux logs d'apache.
Je viens de me retapper le nettoyage de 25 fichiers à la pogne, mais franchement :
1) C'est chiant.
2) Je serai pas toujours la pour le faire.
3) Le jour ou une exploit plus méchante que celle-ci (qui ajoute des lignes en bas de certains fichiers) va arriver, le site sera nettoyé, et la ca sera restore de backups and co.
Donc je réitère pour les admins :
- Merci de retrouver dans les mails envoyés par ovh comment accéder aux logs apache du site, ou de le demander en ouvrant un ticket au support. J'ai bien cherché dans l'arborescence ftp, mais semblent pas se trouver la. C'est probablement au même genre d'endroit que vous accédez pour les stats and co.
- Merci de faire un backup de l'ensemble des fichiers et DBs de solo. Je sais, ca aussi c'est chiant, mais c'est pas moi qui vais le faire, et si c'est personne le jour ou 3) va arriver beaucoup n'auront que leurs yeux pour pleurer.
Good Job quentin! Fais ton possible pour sauvegarder nos précieux posts!
Citation de: quentin le 20 Juin 2010, 00:35:54
- Merci de faire un backup de l'ensemble des fichiers et DBs de solo. Je sais, ca aussi c'est chiant, mais c'est pas moi qui vais le faire, et si c'est personne le jour ou 3) va arriver beaucoup n'auront que leurs yeux pour pleurer.
mes poss!
sauvez mes posts :oops:
J'y connais rien du tout, mais une copie par httrack, ça peut aider ?
Si oui, ça se lance facilement, et y'a qu'à le laisser tourner un petit moment.
Citation de: Zanketsull le 20 Juin 2010, 11:39:13
J'y connais rien du tout, mais une copie par httrack, ça peut aider ?
Non, ça aide pas.
Non, c'est pas moi.
Les logs sont pas sur le gtp quentin ?
(aprioris c'est pas une faille SMF, mais plutot un vers qui choppe les pass ftp chez les gens : http://nibbles.tuxfamily.org/?p=1496
je peux pas faire de svg depuis le panneau d'administration de Solomoxen : internal error.
Citationje peux pas faire de svg depuis le panneau d'administration de Solomoxen : internal error.
Faut transférer toute l'arborescence par ftp + faire un dump de toutes les tables depuis phpmyadmin.
CitationLes logs sont pas sur le gtp quentin ?
Bah je les ai pas vus, si ils y sont ils sont cachés dans un endroit vraiment pas standard et pas intuitif.
solomoxe@ssh1:~$ grep -lir "GET / HTTP" *
solomoxe@ssh1:~$
Citation(aprioris c'est pas une faille SMF, mais plutot un vers qui choppe les pass ftp chez les gens : http://nibbles.tuxfamily.org/?p=1496
Pas le temps de tout lire, mais en résumé c'est qu'un admin a un virus et s'est fait sniffer son pass FTP c'est ca ?
Si oui y a pas de solution miracle, faut que tous les admins qui font du FTP virus scans leurs machines. Une fois que quelqu'un a trouvé un truc, faut changer le mdp et on devrait etre good to go.
Je pense pas qu'on ait des logs FTPs chez ovh en mutu, et vu que je peine a me faire indiquer les logs HTTPs, je doute que ca soit facile de les trouver si oui :p.
Vu que j'ai les horaires de l'attaque j'aimerais quand même regarder les logs apache, histoire d'éliminer des possibilités de manière sure.
j'ai pas tous ces accès, je peux pas t'aider quentin :'(
Citation de: quentin le 20 Juin 2010, 18:24:49
Pas le temps de tout lire, mais en résumé c'est qu'un admin a un virus et s'est fait sniffer son pass FTP c'est ca ?
Oui
je propose qu'on migre sur team-gt.com :mrgreen:
Citation de: lowkick le 21 Juin 2010, 09:19:33
je propose qu'on migre sur team-gt.com :mrgreen:
Best idea ever :moustache:
Je crois qu'on vient de trouver les coupables.
tes chats?
Je trouve ça sexy un mec qui utilise grep :wub:
Vous croyez que c'est une pathologie ?
<3 geeks
Citation de: Sophia le 21 Juin 2010, 16:21:04
Je trouve ça sexy un mec qui utilise grep :wub:
Vous croyez que c'est une pathologie ?
<3 geeks
Tu me fait peur :moustache:
Tiens, ca me le fait a moi aussi. Le méchant : iopap.upperdarby26.com
FYI, je suis sous Google Chrome. Il vaut mieux éviter d'accéder à Solo ou bien c'est sans risque?
Ca devrait *encore* être résolu.
Incoming gueulante aux admins en MP.
J'ai trouvé le moyen de faire une svg de la base depuis le panneau admin du forum (il suffit de décocher l'option de zippage qui faisait planter la procédure).
Niveau WEB, je suis une brelle pour rappel. Donc je sais pas exploiter ce fichier SQL.
C'est pas grave, suffit de le garder dans un coin, si on a besoin de faire un restore je saurai faire. C'est juste que j'ai pas envie d'écoper de cette tache de manière régulière, donc je veux que quelqu'un d'autre le fasse. Maintenant plus qu'à trouver un candidat qui fasse le backup ftp.
77 MO le fichier, c'est pas un peu petit ?
Ca contient la structure et les tables de données si j'ai bien compris.
Citation de: OlafGrossbaf le 22 Juin 2010, 10:15:30
77 MO le fichier, c'est pas un peu petit ?
Ca contient la structure et les tables de données si j'ai bien compris.
Nan, le texte ça pese vraiment pas grand chose =)
Citation de: Zmx le 23 Juin 2010, 14:09:08
Citation de: OlafGrossbaf le 22 Juin 2010, 10:15:30
77 MO le fichier, c'est pas un peu petit ?
Ca contient la structure et les tables de données si j'ai bien compris.
Nan, le texte ça pese vraiment pas grand chose =)
Surtout si tu prends en compte les mails de Kafel :moustache:
Le fait d'avoir accédé au site, c'était dangereux pour nous autres gentils users?
Bah si t'as un antivirus qui te lancait des messages d'alerte, non.
Si t'as pas java d'installé sur ton pc non plus (a priori). Je dis bien java hein, pas javascript.
Si t'as java, et pas d'antivirus, ben tu vas sur le site d'antivir, tu downloades, et tu full scans :p.
Citation de: quentin le 22 Juin 2010, 09:32:14
Ca devrait *encore* être résolu.
Incoming gueulante aux admins en MP.
J'vais peut etre dire des conneries, que ca me regarde pas tout ça, mais comme Quentin maitrise tout ce qui est internet, qu'il est present quasi tous les jours sur le forum et qu'il maitrise en plus le méta^^ ca serait peut etre aproprier de le passer admin lui aussi ;)
Seulement s'il modifie la couleur de l'horaire du chat :moustache:
Citation de: quentin le 23 Juin 2010, 14:49:03
Bah si t'as un antivirus qui te lancait des messages d'alerte, non.
Si t'as pas java d'installé sur ton pc non plus (a priori). Je dis bien java hein, pas javascript.
Si t'as java, et pas d'antivirus, ben tu vas sur le site d'antivir, tu downloades, et tu full scans :p.
Je rajouterais, si tu as acrobat reader, et pas d'antivirus...