Jump to content

Alerte de virus à l'entrée du site

poisonivy1409

By poisonivy1409
in Discussion générale

 Share

Recommended Posts

poisonivy1409 Newbie

poisonivy1409

Posted
Posted

Bonjour tout le monde,
Je viens de mettre en ligne mon site (hébergé chez OVH)
pour une première période de test il y a plus d'une semaine, avoir des avis des amis etc,...
A part quelques petites choses à corriger, Apparemment, sur certain PC (windows), ils ont reçu des alertes de virus (?).
Moi je suis sur Macintosh, le problème ne semble pas d'être présent.

J'ai écrit au support techniques de OVH, mais à chaque fois, j'ai eu des réponses assez vagues qui ne m'aident pas du tout...
J'ai essayé de faire un "balayage" de virus de mon dossier www (par le logiciel avast pour mac), il a trouvé un fichier suspicieux qui s'appelle googled116b94b8f50.php, je l'ai donc supprimé du dossier. Ce jour même, ça avait l'air de marcher !
Et puis le lendemain, on m'a dit que le problème est toujours là ! :-(
Je commence à être vraiment désespérée,
Quelqu'un aurait-il une réponse à ce sujet, s'il vous plaît ??

Le site est accessible à cet adresse :
http://www.carokhoto.com EDIT yoya971- : a vos risques et périles

Merci beaucoup pour votre aide !!

Link to comment
Share on other sites
jeckyl Newbie

jeckyl

Posted
Posted

Bonjour,

Perso je suis sur mac, donc pas concerné, mais moi il y a un truc qui me chiffonne dans votre site, il est fait pour qui ? Vos clients au plus grand nombre ou certains qui ont des écrans énormes ?

Car avec un affichage assez standard je n'ai pas la moitié des informations qui s'affiche à la première consultation ainsi votre page de pré accueil est très grande et décalé vers le bas ce qui est assez gênant. et pareil sur la page d'accueil de la boutique ou votre slider est coupé car top grand.

En gros joli travaille de webdesign qui ne se préoccupe pas des clients ou de l'ergonomie du site.

Link to comment
Share on other sites
Olecorre Newbie

Olecorre

Posted
Posted

Suis en train de contrôler le site, pour le moment aucun code suspect trouvé ! c'est étonnant que ca le fasse que sur certain ordi, en plus Pierre le virus que tu donnes la ne concerne pas les sites web, mais plus un virus présent sur ta machine vu ce qu'il faut faire pour s'en débarrasser !

Enfin je continu à fouiller les fichiers du site à la recherche d'un code suspect.

Link to comment
Share on other sites
poisonivy1409 Newbie

poisonivy1409

Posted
  • Author
Posted

Vraiment désolée si ça venait réellement de mon site.
Pour l'instant, je n'ai reçu que des alertes qui, visiblement, n'a causé aucun problème à leurs ordinateurs.


En tout cas c'est un véritable virus, un poil chiant pour le virer d'ailleur :@ ....
http://row.avira.com/fr/threats/section/details/id_vir/5843/tr_fakeav.af.html

Cdlt,
Pierre.
Link to comment
Share on other sites
poisonivy1409 Newbie

poisonivy1409

Posted
  • Author
Posted

Salut Pierre,
Je veux bien le faire, mais ma question est :
Dans mes sources en backup à la base, il y a une grande chance qu'il y a dejà ce problème... Donc je suppose que ça ne changerait pas si je supprime ceux qui sont sur le serveur et uploader ceux qui sont dans mon backup..??



Si vous trouvez pas la soluce, à mon avis :
Supprimer tout les sources du site, changer tes mots de passe FTP, reuploader les sources.

Cdlt,
Pierre.
Link to comment
Share on other sites
Natsu Newbie

Natsu

Posted
Posted

Hello,

J'ai eu le même soucis sur mon serveur, si tu utilises filezilla change de ftp... les mot de passe enregistrés ne sont pas cryptés... il suffit juste d'un bot pour récupérer les mot de passes et modifier les fichiers php/js/tpl/html en rajoutant une iframe vers un site malveillant...

Pour éradiquer ce problème, prend ton backup cherche le mot "iframe" supprime toute les références, puis fait ce que yoya971 t'a conseillé (changer le mot de passe, tout supprimer, reup la version clean)

A+

Link to comment
Share on other sites
poisonivy1409 Newbie

poisonivy1409

Posted
  • Author
Posted

Hello
Merci pour ta réponse.
Concernant Filezilla, effectivement j'étais sur Filezilla.
J'ai cyberduck sinon ?
Je m'excuse de te poser encore quelques questions sur ce que tu m'as conseillé :
"il suffit juste d'un bot pour récupérer les mot de passes et modifier les fichiers php/js/tpl/html en rajoutant une iframe vers un site malveillant..."
je ne suis pas sur d'avoir bien compris ? (Je ne me suis occupée que de l'interface, le développeur avec lequel j'ai travaillé sur ce site est momentanément indisponible - pour une période non précisée)...voilà pourquoi j'essaie de comprendre moi même sans avoir tellement de connaissance sue ce domaine...
Je te remercie pour tes précisions


P.S : Je ne pense pas avoir la version clean (pas 100% sur)

Merci et à +

Hello,

J'ai eu le même soucis sur mon serveur, si tu utilises filezilla change de ftp... les mot de passe enregistrés ne sont pas cryptés... il suffit juste d'un bot pour récupérer les mot de passes et modifier les fichiers php/js/tpl/html en rajoutant une iframe vers un site malveillant...

Pour éradiquer ce problème, prend ton backup cherche le mot "iframe" supprime toute les références, puis fait ce que yoya971 t'a conseillé (changer le mot de passe, tout supprimer, reup la version clean)

A+
Link to comment
Share on other sites
Yoya Newbie

Yoya

Posted
Posted

Oliv, vu que tu as les axx de poisonivy1409, fait un dump des sources, et fait une recherche sur 'frame' sur l'intégralité des sources ... tu va trouver bonheur.

Du coup poisonivy1409, passes un bon anti virus sur ton PC sur lequel tu utilis(ais) Filezilla et install un autre logiciel FTP, genre ... FlashFXP (ou autre j'ai pas d'actions chez eux). Tu changes de mots de passes FTP et tu reinstall les sources que sieur Oliv t'aura cleané (si si tu va y'arriver copain! :))

Enjoy,
Pierre.

Link to comment
Share on other sites
Olecorre Newbie

Olecorre

Posted
Posted

je trouve que vous vous avancez beaucoup sur les "solutions" car j'ai fait une recherche frame et rien d'anormal ! j'ai recherche en fulltext un dixaine de mot clé, scruté à la main les milliers de ligne de résultat, aucune anormale ! aucun appel a http://4322 etc...

si je vais sur la première page http://www.carokhoto.com/ et que je regarde le source (sous ie, firefox) y a aucun appel à fichier js, aucune frame, le seul truc se sera que l'image sur la page d'index soit vérolé.

Yoya peux tu matté le source sur ton xp voir si sur seven et masquerai pas du code ? quand j'ouvre le index.html avec le notepad, j'ai rien !

Link to comment
Share on other sites
Mr6 Newbie

Mr6

Posted
Posted

Salut !

Si ca peut apporter de l'eau à votre moulin, j'ai testé le site hier soir et ce matin.
Sous Win7, au 1er chargement du site FX m'indique un composant à installer, puis plus rien les fois suivantes.
Sous XP ce matin (autre pc) au 1er chargement du site FX braille "Le site situé à 2311.in a été signalé comme une source d'attaques et a été bloqué suivant vos préférences de sécurité." et bloque le carrousel.
Bien sûr, dès que je reload la page, que je quitte et revient, etc.... plus aucune erreur et le carrousel s'affiche...
A croire que pour chopper ce code le mieux serait d'avoir un proxy (ou peut-etre qu'un coup de wireshark peut faire l'affaire) installé sur un pc (qui n'est jamais allé sur ce site) afin que ce dernier capture tout ce qui passe lors de l'accès au site.

@+
Mr6

Link to comment
Share on other sites
poisonivy1409 Newbie

poisonivy1409

Posted
  • Author
Posted

Bonjour !
Donc, tu as trouvé un truc ?
S'agit il de la source du problème ?
Je n'ai pas de moyen de vérifier parce que je n'ai pas de PC...
J'attends vos témoignages.
Vraiment merci pour l'aide de vous tous !!



C'est bon j'ai trouvé et viré une ligne dans header.php

Ce qui est étonnant c'est que sous seven, j'avais pas de message d'erreur ou d'alerte et le code html de l'iframe ne s'affichait pas quand je faisais source de la page !
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...