Probable cheval de troie sur mon blog

[Julya]

Bonjour à tous,

Je ne suis pas certaine d'être au bon endroit pour poster mon message (si ce n'est pas le cas : toutes mes excuses),

Depuis plusieurs jours, une personne me dit que quand elle veut accéder à mon blog (dont voici le lien http://3petitesplumes.eklablog.com/[/url])

son anti-virus (malwarebytes) lui indique qu'il y a un cheval de troie.

Du coup elle ne veut plus trop visiter mon blog. Je lui ai conseillé votre site pour avoir de l'aide (mais cette personne semble ne pas pouvoir le faire facilement).

Cela m'ennuie qu'il y ait ce genre d'alerte sur mon blog, y-a-t-il quelque chose à faire de mon côté ?

D'avance merci pour l'aide que vous pourrez m'apporter.

[Malekal_morte]

Salut,

Pas l'impression qu'il y ait de malwares.

[angelique]

Bonjour,

Les scans en ligne montre que le site est "clean", pfff! le gros nounours en guise de souris -_-

Faudrait que la personne donne plus de détails sur la détection de MBAM.

[Julya]

Merci Malekal_morte et Angelique pour vos réponses.

Angelique : je vais contacter cette personne pour lui demader plus de détail sur sa détection,
je reviens dès que j'ai du nouveau.

[Parisien_entraide]

Bonjour,

En fait je pense que MBAM coince sur la même chose que l'une des listes du module complémentaire "Ublock Origin "(La liste de Peter Lowe)

scorecardresearch.com


https://pgl.yoyo.org/adservers/

Ou si on passe par firefox et qu'on détient Ublock Origin :
moz-extension://95813d5e-e8de-4cd2-b710-5b7a2098c75f/asset-viewer.html?url=plowe-0


Sur ublock Origin :

2020-03-03_021929.jpg

Qu'est-ce que ScorecardResearch?

ScorecardResearch fait partie d'une société appelée Full Circle Studies, qui appartient à comScore.

https://www.theguardian.com/technology/ ... monitoring

Ah tiens on retrouve Ghostery/Evidon :-) https://apps.ghostery.com/apps/scorecar ... rch_beacon

"ScorecardResearch.com (se trouvant aussi sous le nom de b.scorecardresearch.com) est une plate-forme de marketing, dont l'adresse a été inclue dans de nombreux programmes de sécurité.
C'est pas mal utilisé par les cybercriminels pour afficher des annonces "trompeuses" amenant sur des sites vérolés et téléchargement de programmes de type adware sur l ordinateur.
Si de tels programmes s'infiltrent dans le système, ils peuvent facilement modifier les paramètres DNS de votre ordinateur et ensuite peut détourner tous vos navigateurs Internet, y compris Internet Explorer, Google Chrome, Mozilla Firefox et d’autres navigateurs web."


Donc à la base ce n'est pas malveillant. Les protections adoptent juste un principe de précaution de part l'usage détourné qui pourrait en être fait

A cela on peut y ajouter la collecte de donnes personnelles.

https://www.scorecardresearch.com/privacy.aspx

Ce que bloque Ad GUARD (la collecte) mais indique le site comme '"safe"' sans programmes malveillants (ce qui est indicatif mais c'est une base)

https://reports.adguard.com/fr/3petites ... eport.html

2020-03-03_022954.jpg

Un des rares qui scanne l'intégralité d'un site, fait Antivirus, antimalware, Crowd sourcing, Black lists plus celles de spams et vérifie les risques coté serveur

https://www.siteguarding.com/


Résultats :

Your website loads images, javascript, css style files from these domains.

Total Domains: 139
Total Blacklisted Domains: 0

Plugins

Code : Tout sélectionner

https://www.aht.li/3469390/TimeStVal20.html
https://www.aht.li/3469391/CalStVal3PP.html
https://www.aht.li/3468791/Banniere_StVal_2020.html
https://www.aht.li/3471149/Saint_Valentin_2020.html
Js Local
/js/ads.js
/js/cmp.js
/js/addons/hackie6.js?c197d88c
Js External
https://cdn.tradelab.fr/tag/208269514b.js
http://assets.pinterest.com/js/pinit.js
https://compare.easyvoyage.com/javascripts/v1/p/alt_core.js

A noter que pour le "b.scorecardresearch.com" il est indiqué 1 occurence que c'est "ok"

Donc... pas de soucis


Accessoirement "No Script" bloque sur

https://sd-g1.archive-host.com/membres/ ... _2020.html

2020-03-03_012716.jpg

Qui est en fait l'image sur la page d'accueil

2020-03-03_012742.jpg

Après et hors de tout cela le site est en HTTP au lieu de HTTPS, ...mais ce n'est pas cela qui peut le déclarer en tant que malveillant

[Julya]

Bonjour Parisien_entraide,

Merci beaucoup pour ta réponse détaillée, j'essaie de bien tout comprendre car cela est intéressant (pour moi en tout cas), je ne suis pas calée en informatique mais je suis curieuse.

Si j'ai bien compris : Noscript bloque ma bannière (bannière créée avec le logiciel wvanim en html5) et pour ça je ne vois pas ce que je peux faire.

Et il y a ce "truc" scorecardResearch je ne connais pas : y-at-il la possibilité de le virer ?

Et non hélas, le blog n'est pas en https http://doc.eklablog.com/firefox-et-bien ... ic168764/1

Merci par avance.

[Parisien_entraide]

Bonjour,

Pour le module no script (mais cela peut affecter les gens qui n'activent pas le javascript) il faut une alternative
http://www.oujood.com/balises/balise-noscript.php (c'est juste une piste)

Vu que tu dois utiliser un programme de construction de site web je ne sais si il laisse des alternatives (le code doit être transparent pour toi et tu ne dois pas le voir je pense)
Là par contre il te faut te renseigner et perso je ne peux d'être aucune aide (sauf si un lecteur de Malekal a du temps à y consacrer)

Voir peut etre sur les forums liés (hébergeur et WvAnim) mais faire attention aux intervenants parce que lorsque je lis

"Mon dépanneur m'a conseillé de naviguer avec Google Chrome moins porteur de virus selon lui que Firefox"... ca craint :-)


Sur la faq de l' hébergeur on lit :

Comment insérer du javascript sur mon blog ?
Les codes javascript sont automatiquement désactivés par mesure de sécurité. Pour insérer du javascript sur votre blog, vous devez avant tout demander à l'équipe d'EklaBlog de vous l'activer sur votre compte.

Donc cela ne l'est pas par défaut

A PRENDRE EN COMPTE

Le truc c'est que tes "visiteuses" (aux vues du site il ne doit pas y avoir beaucoup d'hommes) ne sont surement pas au fait des protections en place, et doivent utiliser le navigateur Chrome (qui déjà à la base occupe plus de 80% des parts de marché)

Les personnes qui mettent une protection de type "Ublock Orign" ne doivent pas être nombreuses et encore faut il qu'elles activent le "'no script" de ce programme

Par contre le programme en tant qu'extension de Chrome "NoScript" https://chrome.google.com/webstore/deta ... cbfeoakpjm
existe en tant qu'"extension individuelle, mais là aussi si les gens l'installent c'est qu'ils savent pour quoi il est fait
Le truc là aussi c'est que vu qu'ils seront bloqués sur pas mal de sites, ils finiront pas désactiver cette extension

CONCLUSION : : Que ce soit bloqué ne concerne qu'une minorité de personnes
________________________________________

CONCERNANT la balise img src="http://b.scorecardresearch.com/p?c1=2&c2=6035191&cv=2.0&cj=1" />

Si tu es sous CHROME, malgré Ublock Origin et ses listes (que j'ai à l'identique de Firefox) cette balise n'apparait pas sous Ublock Origin. Ce qui est.. normal, car les bloqueurs de pubs ne sont pas aussi efficaces selon le navigateur que l'on utilise (se rappeler ce qu'est CHROME et quel est son véritable but) pourtant j'ai vérifié, scorecardresearch apparait bien sur les deux navigateurs

Donc là AUSSI, si les gens utilisent CHROME même avec une protection anti pubs il n'y aura aucune alerte (j'ai utilisé un autre navigateur sous base Chromium du nom de SLIMJET et c'est la meme chose)
Il n'y a que sous Firefox que c'est bloqué mais cela ne génère pas d'alerte car le blocage est siliencieux

Le problème ne peut venir QUE de programmes tiers (j'ai vu passer une discussion sur le fait que scorecardresearch soit détecté par MBAM)

Quant à virer scorecardresearch il faut savoir d'où il vient. J'ai regardé le site hébergeur, cela ne vient pas de lui sauf en mode gratuit

https://www.eklablog.com/plans donc tout dépend de ce que tu as (gratuit ou payant)

Ensuite il est possible que soit le fait des packages de WVanim mais j'ai un doute car j ai testé d'autres blogs du site et il n'y a que chez toi que cela apparait

[Julya]

Bonjour Parisien_entraide,

Hou là, heu... c'est un peu compliqué pour moi tout ça.

J'utilise en ce moment Chrome car Firefox rame pas mal et que j'ai un p'tit souci avec l'extension fvd speed dial, j'ai Ublock Origin sur les deux, il m'arrive aussi d'aller sur Opéra pour windows.

Mon blog est en mode gratuit et j'ai le javascript activé sur ce blog.

Bon, je vais essayer de résumer ce que j'ai compris (enfin j'espère) :

Pour le problème noscript sur ma bannière il faudrait que j'entre une balise html

Pour le problème b.scorecardsearch.com (cela viendrait de l'hébergeur eklablog car je suis en mode gratuità il vaut mieux utiliser firefox.

Quand au fait qu'une personne daans mes visiteurs habituels (si il y a des hommes peu certes...), ait un message de mbam (c'est un faut positif) mais vu que cette personne semble en connaitre encore moins que moi, cela va être difficile de lui expliquer.

Est-ce bien cela, où suis-je stupide ?

[Parisien_entraide]

Non tu as tout compris :-)

Néanmoins je ne te donne que des pistes car je ne sais par ex ce que fait exactement ektablog au sujet des pubs (ils ne disent pas grand chose)
Peut etre poser la question sur leur forum ?

Pour le faux positif... il faudrait qu'elle vienne ici, qu'elle fasse une capture de ce que MBAM dit et on lui répondra

Là aussi c'est parce qu'elle a la version payante de MBAM avec le "web protection" activé
La version gratuite qui n 'est qu'un scanner ne dira rien

[Julya]

Bonjour Parisien-entraide,

Bon bah, c'est parce que tu explique très bien

(au passage, j'ai vu que j'avais fait des fautes en écrivant mon dernier message, toutes mes excuses)

Pour Eklablog, les pubs sont imposées sur les versions gratuites (perso j'ai un anti-pub donc je ne vois rien) pour en savoir plus :ce n'est pas gagné.

Pour le faux positif, je vais essayer de ré-expliquer à cette personne et on verra si elle y arrive.

Encore un grand merci pour ton aide.

Bonne journée.

[Parisien_entraide]

Bah de rien :-)

Pour les "fôtes" pas de soucis, je suis le premier à en faire (du fait d'une part du clavier mécanique "gamer" trop sensible et pas adapté à la frappe et d'autre part du fait que je me relis rarement)
On en fait tous et l'on voit mieux celles du voisin que les siennes :-) (d'où le principe de relecture par une personne tierce. Encore faut il avoir le temps pour cela

Bon blog :-)