[URGENT] Script malveillant à l'ouverture page 17B, avec IE ! Options

[Star Du$t]

Salut les gens.


Je ne sais pas si c'est l'alcool, quoi que j'ai testé 3/4 fois avant de poster ce message, mais il semble qu'un scipt malveillant se lance pour les utilisateurs d'IE quand ces derniers ouvrent la page du forum 17B.


Pour celle d'accueil, je n'en sais rien, ma page de démarrage de mes browser étant http://forum.17buddies.net .


le script malveillant semble venir de : http:// zabywjwzlr.biz/dl/java.jar\GetAccess.class


Ext-ce d'une pub ? Je ne sais pas, mais en utilisant Fire Fox, je n'ai pas Avast qui s'excite comme il le fait avec IE... (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_decu.gif)

D'ailleurs, j'ai carrement l'invite de script utilisateur qui s'ouvre, en m'y inscrivant un code constitué de pipes... (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_neutral.gif)

Bon allez, bonne nuit... C'est pas si dramatique, on est en demi ! (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_ane.gif)

[benneb]

effectivement (IMG:http://forum.17buddies.rocks/style_emoticons/default/blink.gif)

[Star Du$t]

Le premier script bloqué par Avast vient de là : http://zabywjwzlr.biz/dl/loaderadv416.jar\Counter.class


Après, il s'agit de : http://zabywjwzlr.biz/dl/java.jar\GetAccess.class

Nom virus : JS:Classloader-6 et JS:OpenConnection-I


Bon courage...

[Controversy]

en ouvant avec IE, il me lance le script, et çà me détecte plusieurs virus... (IMG:http://forum.17buddies.rocks/style_emoticons/default/sad.gif)

[Acidounet]

Probleme corrigé

[Destroys]

J'ai eu le même problème mais pour l'instant sa re fonctionne

merci les chasseurs de virus (IMG:http://forum.17buddies.rocks/style_emoticons/default/biggrin.gif)

a se soir

++

[Acidounet]

Un petit malin c'est amusé un peu avec le forum.


Le necessaire est fait mais nous vous invitons a passer un coup d antivirus

http://www.pandasoftware.com/products/ActiveScan.htm

desolé pour ce desagrement.

nous vous invitons egalement a changer de mot de passe (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_jap.gif)

[Nosferatu]

y a vraiment des couillons qui n'ont rien a faire ....

[Cléo]

heu pour moi ca continue à le faire (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_decu.gif)

[Controversy]

euh c'est revenu, et c'est pire que tout là... (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_decu.gif)

[Star Du$t]

Ca viendrait d'une faille dans IPB ou ca vient des pubs ? (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_neutral.gif)

This post has been edited by Star Du$t: 02/07/2006 - 12:29:20

[Nosferatu]

une faille

[Kyubi]

(IMG:http://www.firefox.fr/boutons/getfirefox_large.png)

This post has been edited by Kyubi: 02/07/2006 - 14:05:24

[Star Du$t]

On n'a pas demandé de trolls... (IMG:http://forum.17buddies.rocks/style_emoticons/default/siffle.gif)

[GiLaN]

Un petit malin c'est amusé un peu avec le forum.
Le necessaire est fait mais nous vous invitons a passer un coup d antivirus

http://www.pandasoftware.com/products/ActiveScan.htm

desolé pour ce desagrement.

nous vous invitons egalement a changer de mot de passe (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_jap.gif)

Il y a des risques que la personne ait obtenue nos mots de passes? (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_jap.gif)

[Nosferatu]

oui

c'est malheureusement possible

je n'ai pas encore terminé l'audit de la base pour determiner ce à quoi il avait eut accès

je ne pense pas qu'il ai eut grand chose mais ....

[GiLaN]

il aurait pu les voir en cryptés uniquement? Si c'est ça, ce n'est pas tellement inquiétant (IMG:http://forum.17buddies.rocks/style_emoticons/default/wink.gif) mais s'il a eu des accès directs alors ça peut le devenir malheureusement (IMG:http://forum.17buddies.rocks/style_emoticons/default/sad.gif)

[Nosferatu]

à priori il n'a eut accès qu'au passwd crypté, si tenté qu'il y a eut accès

mais je n'en suis pas encore certain, j'ai un certain nombre de test à faire ce soir

à priori le forum est mieux protégé maintenant ... jussqu'a la faille suivante

[Star Du$t]

Avec le hashage MD5, il devrait y avoir aucun souci, je ne verrai pas pourquoi on devrait s'inquieter à changer les mots de passe... (IMG:http://forum.17buddies.rocks/style_emoticons/default/icon_neutral.gif)


Faut voir par contre si lorsque le mot de passe a été ajouté à la BDD, si il n'y a vraiment que le mot de passe qui est hashé, sans aucune valeur inserée... Là, ce serait plus risqué je pense... Enfin, à ce que j'ai bien voulu comprendr au MD5. (IMG:http://forum.17buddies.rocks/style_emoticons/default/biggrin.gif)

[Nosferatu]

le md5 n'est pas infaillible

mais bon après avoir passé une bonne partie de ma soirée à analyser ce qu'il a fait, je pense qu'il n'y a pas de risque pour vos mots de passe

et j'éspère avoir déniché toutes les merdes qu'il a laissé trainer ...


sinon, j'ai la preuve que ce n'était pas spécialement dirigé contre les 17buddies, juste un morveu ukrainien qui a trouvé un script pour profiter d'un exploit et qui a cherché un forum pour le tester ...

[Nosferatu]

Moteur de recherche désactivé ....


du moin jusqu'a ce que le forum soit patché

[neomaclane]

Bon boulot merci, par votre présence et reactivitée. (IMG:http://forum.17buddies.rocks/style_emoticons/default/felicitation.gif)