PB d'acces à WS44, Suis-je le seul ?

[cyrille]

J'ai eu le droit à çà en ouvrant le site

[chessou]

Oulà c'est pas craignosse ça??? Trojan cliqueur???? Antivirus ce soir

[manuc]

A mon sens ca vient du serveur.
En regardant avec les outils de trace des requêtes, il y a bien une requête http vers le site de windsurfing44 puis redirection.

Il y aurai un souci sur les PC des visiteurs du site, il n'y aurait pas redirection vers le serveur mais directement vers le site cible.
Et de toute façon, ca ne le ferait pas que pour ce site, ce qui est le cas chez moi.

Je vois deux choses :
- Un script du site est infecté.
- Le serveur lui-même est infecté.

J'ai trouvé un site avec forum PHPBB sur le même serveur et il fonctionne très bien. Il y a beaucoup d'autres sites hébergés sur ce serveur et ceux que j'ai consulté ne semblent pas avoir de pb particulier. Ca ne prouve rien mais ca ne doit pas venir du serveur. C'est donc probablement le site lui même qui est infecté.

Bon courage, ca peut venir de beaucoup de choses. Vu le comportement, je dirais un fichier php qui est infecté mais le trouver ne résoudra pas forcément le problème.
Il y a probablement un script bien caché qui va aller infecté lui-même un autre fichier. C'est surtout ce 2me qu'il faut trouver pour résoudre complètement le pb.

Est-ce que phpBB est mis à jour régulièrement ?

[chessou]

ça bug sévère le forum de mon côté... impossible d'accéder à l'index du forum, la section Compétitions et Nouveautés des marques sous mozilla firefox. Le site me balance vers un site mickeal.net ou je sais pas trop quoi...

Du coup je tente le forum avec internet explorer, et là bing paye l'antivirus qui hurle...merci du cadeau le forum est infecté... virus de script java JS/iFrame.FC.1 détecté.

Je reviendrai quand ça ira mieux

[Olivier44]

Ah bah voilà, je tourne le dos 5 minutes et c'est le bazar

Il y a eu une vague d'infections en juillet par le virus c3284d :
http://www.hdinformatique.com/virus.php" onclick="window.open(this.href);return false;
http://forums.phpbb-fr.com/support-util ... 91583.html" onclick="window.open(this.href);return false;

Les fichiers index.html / index.php et .htaccess ont été modifiés et un nouveau fichier w se trouve à la racine.

J'ai nettoyé ces 4 points mais peut-être que cela n'est pas suffisant.

Dites-moi ce qu'il en est car chez moi tout fonctionne correctement.

[thomas35]

Cela fonctionne Tres bien chez moi et sur smartphone

[chessou]

Ah bah voilà, je tourne le dos 5 minutes et c'est le bazar

Il y a eu une vague d'infections en juillet par le virus c3284d :
http://www.hdinformatique.com/virus.php" onclick="window.open(this.href);return false;
http://forums.phpbb-fr.com/support-util ... 91583.html" onclick="window.open(this.href);return false;

Les fichiers index.html / index.php et .htaccess ont été modifiés et un nouveau fichier w se trouve à la racine.

J'ai nettoyé ces 4 points mais peut-être que cela n'est pas suffisant.

Dites-moi ce qu'il en est car chez moi tout fonctionne correctement.

Je peux à nouveau accéder aux nouveautés et compétitions mais le clic sur l'index du forum mais redirige vers un site michaelmazur.net, site que je n'atteins d'ailleurs jamais..., j'ai également des émoticones qui bugs.

[Olivier44]

Je peux à nouveau accéder aux nouveautés et compétitions mais le clic sur l'index du forum mais redirige vers un site michaelmazur.net, site que je n'atteins d'ailleurs jamais..., j'ai également des émoticones qui bugs.

J'ai fermé toutes les sessions actives et vidé le cache. Tu as toujours le problème ?

[manuc]

Le problème n'est pas là.
Le site est infecté et le .htaccess est très probablement modifié pour rediriger certaines requêtes vers des sites tiers.

Si ca vient bien de là, il faut remettre un .htaccess standard de phpBB. Il faut également trouver comment il a été modifié, sinon ca va recommencer. Il faut donc rechercher dans l'arborescence du forum quels sont les fichiers qui ne font pas partis de la distrib phpBB installée ou un fichier qui aurait été modifié. Ca peut également venir d'une faille système sur le serveur de l'hébergeur ou d'une faille sur un autre site s'agissant d'un serveur mutualisé.

Si le .htaccess n'est pas modifié, il faut tout de même faire la même opération. L'url mickelmachin doit se trouver quelque part (BD ou script ou ficher data) ou bien un bout de code php doit aller chercher l'info quelque part sur le net (peu probable).

A votre dispo jusqu'à demain soir pour de l'aide si vous avez besoin

[Olivier44]

Salut manuc,

Comme dit plus haut ( viewtopic.php?f=2&t=8845&start=15#p68209" onclick="window.open(this.href);return false; ), 3 fichiers ont été modifiés, index.html / index.php et .htaccess avec du code dans des balises c3284d. Et un fichier W a été ajouté à la racine.

J'ai supprimé le code des 3 fichiers et supprimé le W.

Il faudra que je regarde les logs du serveur pour voir comment les fichiers ont été modifiés et il faudra surement modifier le mot de passe FTP.

Pas mal de sites et de forums ont été infectés fin juin / début juillet par ce virus :
http://forums.phpbb-fr.com/support-util ... 91583.html" onclick="window.open(this.href);return false;
http://forum.ovh.com/showthread.php?t=80563" onclick="window.open(this.href);return false;
http://forum.ovh.com/showthread.php?t=80976" onclick="window.open(this.href);return false;

Après avoir fait un 1er tour des forums sur phpBB3 et OVH, ces modifs "semblent" suffisantes.
Mais bon, cette partie n'est vraiment pas mon domaine
Moi je viens de l'AS/400 et du RPG

[OP2287]

Cà chauffe sur le net en ce moment.
J'ai dû réinstaller mon portable suite à une infection par un faux anti virus , mais vraie arnaque ( Security Shield) , et hier encore j'ai été embêtée par un truc qui s'appelle "text enhance" et qui ajoute de faux liens hypertexte partout, liens qui pointent vers des sondages et des jeux bidons ( pas très grave mais horripilant, j'ai pu m'en débarrasser assez facilement)
Sans doute rien à voir avec WS44, sur lequel je n'ai eu que très passagèrement le problème après une recherche ( redirection vers un site fantôme dont je ne me souviens plus le nom, mais un autre que celui désigné ci dessus)
Avira ne me signale rien de spécial. Donc je continue à visiter ws44 avec une peu d'inquiétude tout de même, en espérant que le pb pourra être réglé définitivement!
Bon courage...

[chessou]

Je peux à nouveau accéder aux nouveautés et compétitions mais le clic sur l'index du forum mais redirige vers un site michaelmazur.net, site que je n'atteins d'ailleurs jamais..., j'ai également des émoticones qui bugs.

J'ai fermé toutes les sessions actives et vidé le cache. Tu as toujours le problème ?

Oui malheureusement toujours, index du forum me redirige vers mickeal.net, à noter qu'avant ça me redirigai vers mytresca.com, donc la cible change...et toujours les émoticones qui déconnent

[Olivier44]

Sous Internet Explorer, tu as supprimé les fichiers temporaires, l'historique, les cookies ... via Outils puis Options Internet ?

[robbynet]

Pendant quelques jours effectivement, sur certaines fonctions, j'ai moi aussi été redirigé vers le site inatteignable de michaelmazur et mon panneau de l'utilisateur n'était pas fonctionnel ; mais aujourd'hui, tout a l'air de marcher...comme avant !
Entre temps, j'ai nettoyé mon PC avec " Spybot Search and Destroy " pour les trojans, et changé d'antivirus : désinstallé Avira pour mettre Avast...avec scan minutieux.

[manuc]

Salut manuc,

Comme dit plus haut ( viewtopic.php?f=2&t=8845&start=15#p68209" onclick="window.open(this.href);return false; ), 3 fichiers ont été modifiés, index.html / index.php et .htaccess avec du code dans des balises c3284d. Et un fichier W a été ajouté à la racine.

J'ai supprimé le code des 3 fichiers et supprimé le W.

Il faudra que je regarde les logs du serveur pour voir comment les fichiers ont été modifiés et il faudra surement modifier le mot de passe FTP.

Pas mal de sites et de forums ont été infectés fin juin / début juillet par ce virus :
http://forums.phpbb-fr.com/support-util ... 91583.html" onclick="window.open(this.href);return false;
http://forum.ovh.com/showthread.php?t=80563" onclick="window.open(this.href);return false;
http://forum.ovh.com/showthread.php?t=80976" onclick="window.open(this.href);return false;

Après avoir fait un 1er tour des forums sur phpBB3 et OVH, ces modifs "semblent" suffisantes.
Mais bon, cette partie n'est vraiment pas mon domaine
Moi je viens de l'AS/400 et du RPG

Sorry, je n'avais pas lu et j'avais toujours le pb !
J'ai vidé les caches et effectivement je n'ai plus le pb.

Par contre, est-ce que tu sais comment c'est arrivé là ? Sinon ca risque de revenir aussi vite.