Auteur Sujet: Redirection malveillante sur les forums Invision Power Board  (Lu 14197 fois)

0 Membres et 1 Invité sur ce sujet

EMegamanu

  • Abonné Orange Fibre
  • *
  • Messages: 416
  • FTTH sur Villeurbanne et Oullins (69)
Redirection malveillante sur les forums Invision Power Board
« Réponse #12 le: 31 janvier 2015 à 18:28:50 »
Ce n'est pas aussi explicite, j'aurai plutôt cru à du code normal d'IPB. :/
Je continue de regarder aussi.

var options=ipb.global.pageJumps[jumpid];if(!options){Debug.dir(ipb.global.pageJumps);

[...]

var url = options.url + separator + options.stKey + '=' + pageNum;
if(options.anchor) {
  url=url+options.anchor;
}
url = url.replace(/&/g,'&');
url = url.replace(/(http:|https:)?\/\//g,function($0,$1){
  return $1?$0:'/';
});
document.location = url;
return;

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
Redirection malveillante sur les forums Invision Power Board
« Réponse #13 le: 31 janvier 2015 à 18:34:26 »
Trouvé \o/

Avec cette ligne de commande, on a la redirection :

wget --header="Cookie: session_id=7af6a84e9c3ccd09c527e88115e36b9d; itemMarking_forums_items=eJyrVjI0MTAys1CyMjQxMjIHXCIL01pcMDKiBLQ%2C" --referer=http://forum.nextinpact.com/topic/140268-logiciel-pc-au-raenti/ "http://forum.nextinpact.com/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&g=js"
Conclusion: c'est carrèment dans le forum que c'est infecté :/

EDIT: les deux cookies indiqués sont nécessaires ainsi que le referer


EMegamanu

  • Abonné Orange Fibre
  • *
  • Messages: 416
  • FTTH sur Villeurbanne et Oullins (69)
Redirection malveillante sur les forums Invision Power Board
« Réponse #14 le: 31 janvier 2015 à 18:50:47 »
Ben c'est ce que je disais, un problème avec des forums IPB qui n'ont pas du être mis à jour à temps. J'ai du tomber sur des dizaines de sites comme ça... Certains ont patché entre temps -> http://forums.dayzgame.com/index.php?/topic/219044-what-is-httpfilestore321com/

Au début, quand tu tombes sur ce genre de pages tu penses d'abord à un cybersquatting d'un domaine qui n'a pas été renouvelé.
Puis après tu commences à douter de tes machines, surtout quand d'autres utilisateurs ne semblent pas aussi reproduire le problème.
Enfin quand tu as compris...

Edit: Et rajouter le fameux cookie lang_id "évite" bien la redirection...
wget --header="Cookie: lang_id=en; session_id=7af6a84e9c3ccd09c527e88115e36b9d; itemMarking_forums_items=eJyrVjI0MTAys1CyMjQxMjIHXCIL01pcMDKiBLQ%2C" --referer=http://forum.nextinpact.com/topic/140268-logiciel-pc-au-raenti/ "http://forum.nextinpact.com/index.php?ipbv=f1a3D3Cf2c0809c19ca79dcf8d3763475818&g=js

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
Redirection malveillante sur les forums Invision Power Board
« Réponse #15 le: 31 janvier 2015 à 19:41:01 »
bravo pour l'analyse,

quelqu'un prévient next impact ? je pense qu'ils traiteront le soucis ...

EMegamanu

  • Abonné Orange Fibre
  • *
  • Messages: 416
  • FTTH sur Villeurbanne et Oullins (69)
Redirection malveillante sur les forums Invision Power Board
« Réponse #16 le: 31 janvier 2015 à 20:14:17 »
Déjà prévenus par email mais pas encore obtenu de retour.

En effet jolie analyse de BadMax, je n'avais que gratté en surface pour ma part.

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
Redirection malveillante sur les forums Invision Power Board
« Réponse #17 le: 31 janvier 2015 à 21:53:28 »
Déjà prévenus par email mais pas encore obtenu de retour.

En effet jolie analyse de BadMax, je n'avais que gratté en surface pour ma part.

Merci, je revenais du ski, j'étais dans le canapé, ça m'amusais de comprendre :)

N'empeche, c'est vicieux et j'aimerai bien savoir comment l'infection a été faite.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
Redirection malveillante sur les forums Invision Power Board
« Réponse #18 le: 10 février 2015 à 19:47:04 »
Salut,

il y a eu des news ?

socros

  • Invité
Redirection malveillante sur les forums Invision Power Board
« Réponse #19 le: 09 mai 2015 à 09:25:02 »
Bonjour,
Dans un premier temps, désolé de remonter ce sujet mais je rencontre ce problème sur mon forum et cela fait plusieurs semaines que je cherche désespérèment des informations sur comment le corriger. Je vois qu'un solution est donnée mais je ne comprend pas où je dois éditer ces lignes de commandes pour corriger toutes ces redirections.

J'aimerai donc savoir où je dois chercher et regarder.

Merci encore pour votre réponse

Guillaume