Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Virus sur site internet depuis iPhone ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Virus sur site internet depuis iPhone ?

Message par KtrocK »

Bonsoir à tous
Je veille un peu mais l'heure est grave!
Je pense bien avoir été infecté sur mon site web et comme je doute de la capacité de mon hebergeur à régler le problème je m'en retourne vers vous !
(Vous aviez bien su m'aider à virer le virus de mon ordi l'année dernière et je vous en remmercie encore! )

Sur mon iPhone, lorsque je tente d'accéder au forum de mon site web depuis une nouvelle session, je suis redirigé vers un site pornographique. Si je retente, c'est bel et bien mon site web qui s'affiche, mais plus tard dans la journée je sais que lorsque je réessaierai j'y aurai de nouveau droit.
J'ai demandé à mes membres si ils avaient des cas similaires mais visiblement je suis le seul. Par contre sur internet j'ai croisé un autre admin qui disait avoir la même chose sur son site ! (Le message datait de 4 jours et c'est le seul que j'ai trouvé, ça doit être un truc récent...)

En persistant j'ai réussis à en apprendre plus : lorsque l'on lance l'index phpbb3 de mon site, quelques fois une autre page est lancée (j'ai réussi à copier le lien), et automatiquement cette page redirige vers le site pornographique.
Or si dans la même session je relance le même lien en question, il me redirige vers l'index désiré !
Je n'ose pas publier le lien ici car il est potentiellement pornographique (même si ça m’intéresserait de savoir si ça le fait aussi chez d'autres personnes !) mais il est hébergé chez 60km.kr qui n'a pas franchement l'air d'un site dangereux (même si les apparences sont peut être trompeuses)

Le fait est que je ne vois vraiment pas comment le problème a pu venir.
Je n'ai rien installé sur mon forum (qui semble être la seule partie du site infectée) depuis longtemps, or le problème n'est apparu que jeudi !
De plus je n'installe jamais rien de suspect, la dernière chose qui pourrait éventuellement avoir le pouvoir de faire ça est un module de lutte contre les robots indésirables : KeyCaptcha
(Il a demandé a modifier des codes de mon forum donc il aurait éventuellement pu me rouler à ce moment là)
Mais ce serait un peu le comble, d'autant plus que le site est bien noté sur WOT et que j'ai entendu des avis positifs sur ce logiciel (son site est ici https://www.keycaptcha.com/ )

Pour le reste il n'y aurait vraiment rien capable de cela... Je ne sais pas quoi faire.
Si vous avez besoin de plus d'info pour m'aider (nom du site pornographique, lien de redirection) n'hésitez pas à me demander!

Sinon j'aimerai bien pouvoir utiliser un logiciel pour trouver le problème sur mon serveur mais je ne sais pas comment faire. Il y a bien un scanner prévu à cet effet dans le cPanel mais il m'a dit n'avoir trouvé aucun virus...

Merci d'avancede votre aide

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

Salut,

Quelle est l'adresse de ton site ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Salut!
hxtp://www.tobelucid.com
Mais seul le forum est infecté:
hxtp://www.tobelucid.com/fr/forum/index.php

Chose intéressante : le bug n'apparait qu'en 3G, pas en wifi!
Or on m'a rapporté hier que le forum était innacessible en 3G

Certains me voient down et d'autre voient du porn... C'est pas génial

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

Pas eu de redirection avec internet ou 3G.
Tu es le seul à avoir ces redirections ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Oui je suis le seul pour l'instant.
Et je suis chez numéricable pour mon offre mobile mais je pense pas que ça ne vienne de mon téléphone car ça ne fait ce problème que lorsque je navigue sur mon forum!

Finalement ça ne marche pas que pour l'index, c'est tout le forum qui est infecté, j'ai fait plusieurs essais encore.
Du coup chaque page du forum a son propre lien de redirection, tous sont hébergés chez 60km.kr
(j'ai trois liens sauvegardés si ça peut vous aider, ou pour voir où est-ce qu'ils vous emmènent vous)

Mais Malekal le forum marchait même en 3G ? Car si je suis le seul à connaitre les redirections, en revanche d'autres m'ont dit que la page ne se chargeait pas :/

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

J'ai eu la redirection.
Ca load un exploit kit qui ensuite redirige vers un site porno.
C'est un spambot : http://malwaredb.malekal.com/index.php? ... 29f6af4c86

Tu peux regarder le contenu du fichier .htaccess à la racine du site et dans le dossier forum (si y en a un).
Tu peux copier/coller le contenu ici pour voir.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Même si c'est embêtant d'avoir la confirmation que je ne suis pas le seul avoir ça, quelque part je suis soulagé car je me dis que grâce à votre aide ça va peut être pouvoir s'arranger !
(La redirection s'est faites dans quelles conditions finalement ?)

_Le htaccess de la racine est vide (je ne sais pas si c'est normal je n'ai jamais touché à ces fichiers)
_Celui du forum contient ceci:

Code : Tout sélectionner

#
# Uncomment the statement below if you want to make use of
# HTTP authentication and it does not already work.
# This could be required if you are for example using PHP via Apache CGI.
#
#<IfModule mod_rewrite.c>
#RewriteEngine on
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#</IfModule>

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>
Mais puisque j'imagine qu'un code a été modifié pour en arrivé là, j'ai du mal à comprendre comment ça a été possible ou ce que j'aurai du faire pour éviter cette infection :|
Si vous avez besoin d'autres informations n'hésitez pas !

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

C'est pas ce que je pensais.
Ca va être plus compliqué, doit y avoir un fichier du forum qui a été touché.

Essaye de scanner le dossier forum avec un antivirus.
Essaye de faire une recherche dans le contenu des pages sur base64 ou sur javascript pour trouver du code qui pourrait être à l'origine de la redirection.
Essaye de regarder les dates des pages PHP voir si y a une qui a été touchée récemment.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Arf dommage...

Je vais regarder les dates de ce pas mais pour les deux premières manips je ne sais pas trop comment m'y prendre :/
(J'ai oublié de préciser mais je suis un peu un admin en mousse, mon niveau c'est "site du zéro html/css" et j'ai juste installé phpbb3 !)

Edit :
Dans le dossier "cache" du forum il y a plein de fichier créé hier/aujourd'hui :
sql_[plein de lettres/chiffres].php

Voici un échantillon de ce qu'ils contiennent:

Code : Tout sélectionner

<?php exit; ?>
1361662346
SELECT * FROM tobeluci_styles_imageset_data WHERE imageset_id = 5 AND image_filename <> '' AND image_lang IN ('fr', '')
19192
a:80:{i:0;a:7:{s:8:"image_id";s:4:"1852";s:10:"image_name";s:18:"button_topic_reply";s:14:"image_filename";s:22:"button_topic_reply.gif";s:10:"image_lang";s:2:"fr";s:12:"image_height";s:2:"25" ...
ça continue sur une ligne interminable, si besoin de vous donnerai le code dans son intégralité.
Les fichiers sont des "applications-x/httpd-php"
Il y en a 15 comme ça. Je pense qu'il s'agit du problème, mais je suppose que juste les supprimer ne résoudra rien ?

Le dossier "cache" est le seul a avoir des fichiers aussi récent.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Bonjour!
Désolé du double post mais justement, pour en éviter un précédemment j'avais édité mon message et je crois que c'est à cause de ça que vous avez pensé que j'avais quitté le forum et que le topic a coulé!

En une journée il s'est passé des choses, et hélas je commence à désespérer...
Il s'est avéré que le dossier "cache" n'y était pour rien. Or comme il n'y avait aucun autre fichier récent, j'ai décidé de supprimer tout le forum, pour n'y remettre que des fichiers neufs.
La base de donnée aussi a été supprimée, j'ai fait un gros ménage.

Sauf que...Il m'est impossible de ré-importer ma base de donnée (elle fait presque 50MO et apparemment c'est trop demander pour mon cPanel), ça plante à chaque fois, du coup le forum est down depuis hier...
Par contre ! Pendant la nuit, le virus est revenu ! Je ne sais pas comment il a fait, mes les fichiers tout neufs font eux aussi la redirection !
J'ai fait planter mon forum pour rien...
Surtout que je ne comprend pas, MalwayreBite n'a rien trouvé de malveillant sur mon PC et j'ai changé de mot de passe sur mon compte d'admin de mon site et sur mon compte d'admin des bases de données ! (un différent pour les deux)

Là où j'ai vraiment faillit m'arracher les cheveux : c'est quand j'ai vu que ma nouvelle page d'index du forum était aussi infectée alors que j'en avais mis une non connectée à la base de donnée et avec peu de code source. J'ai donc pu la consulter sans aucune difficulté : il n'y a pas un seul caractère qui diffère avec l'original que j'ai mis hier.
Les fichiers sont infectés mais leurs codes restent intact ? Mais comment est-ce possible ? Je n'y comprend rien, je me lamente sur mon sort car je pensais qu'en étant un petit site indépendant qui ne demande rien à personne je n'aurai jamais ce genre de problème...
De plus que mon forum avait des informations importantes pour mes membres et que maintenant elles ne sont plus accessibles...

Je ne sais plus quoi faire, je désespère :/

Edit : Si vous pensez que cela peut vous être utile pour m'aider, j'ai créé un compte ftp qui vous permettra d'accéder à mon serveur.

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

Je peux pas t'aider plus que cela pour trouver la source de la redirection.
Ou alors tu me donnes les pages de ton forum (sans le config.php) et je vois si je trouve.

Une autre solution consiste à repartir d'une sauvegarde saine ou du zip officiel phpbb3
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

L'accès ftp n'est-il pas encore plus efficace que les pages de mon forum ?
Car je n'ai vraiment pas l'impression qu'elles sont modifiées!

Quant aux fichiers "tout neufs" que j'ai mis hier, ils venaient un zip officiel phpbb3 !

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

Les pages sont forcéments modifiées, la redirection, c'est pas magique (à moins que ce soit au niveau du serveur WEB mais j'en doute).
Faut modifier le code pour qu'il y est redirection.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Virus sur site internet depuis iPhone ?

Message par KtrocK »

Sans aller jusqu'a accuser mon hebergeur, celui ci est souvent down et connait de nombreux problèmes, donc si ils étaient coupables je ne serais étonné qu'à moitié!
Et je sais que ce n'est pas magique mais je vous assure que j'ai regardé les codes sources et qu'ils étaient identiques a ceux des fichiers phpbb3 neufs!
Je peux vous envoyer les coordonnées ftp par MP ?

Malekal_morte
Site Admin
Site Admin
Messages : 102854
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus sur site internet depuis iPhone ?

Message par Malekal_morte »

Si tu veux pour le FTP.

EDIT : mouais t'es sur un mutu OVH, je doute que ce soit au niveau du serveur WEB le problème.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »