La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: EMegamanu le 31 janvier 2015 à 16:27:09
-
Bonjour à tous,
Depuis plusieurs jours je me prends la tête, soupçonnant une infection de mes machines Windows... En effet, à plusieurs reprises ma navigation web a été redirigée sur des sites malveillants comme FileStore321 ou AdultFriendFinder. Fort heureusement Adblock limite la casse en évitant d'afficher des publicités piégées (fausses mises à jour de plugins)...
Ne trouvant rien sur mes machines, j'ai essayé d'analyser le comportement de ces redirections :
- la redirection se produit une seule fois pour une URL donnée durant un certain lap de temps sur un navigateur (cookie ?)
- seuls des forums Invision Board Power sont impactés
- parfois on a le temps de voir un court instant la page demandée du forum avant la redirection. Néanmoins elle n'est pas prise en compte dans l'historique. :(
- ces redirections se produisent uniquement quand le HTTP referer indique une provenance de Google
- j'ai pu le reproduire sur mon téléphone Android en changeant l'UA pour celui de Safari OS X. Rien ne se produisait avec celui par défaut.
- les utilisateurs Linux ne semblent pas apercevoir le problème non plus (des quelques témoignages que j'ai pu lire)
J'ai pu constater la présence de ce problème sur les forums de NextInpact si vous souhaitez tester.
Vous voilà prévenus si vous constatez le même phénomène.
-
Edit :
çà me l'a fait sur le lien exact ci-dessus.
-
Salut,
tout va bien pour moi sur le forum next impact. Aucune ouverture de fenêtre intempestive.
je pense donc que le soucis bien de ton PC
Et de mes smartphones aussi après avoir changé l'User Agent ? Seulement sur des forums Invision ? C'est un peu gros...
Le but apparent est de brouiller les pistes. :-/
-
Et de mes smartphones aussi après avoir changé l'User Agent ? C'est un peu gros...
beh je n'ai rien moi ...
çà parait bizarre quand même ... ce n'est pas parce que rien de louche n'a été trouvé, qu'il n'y a rien.
tu as mis quoi exactement comme UA ?
-
Problème reproduit sous Linux KUbuntu !
J'ai cliqué sur le premier lien.
EDIT: j'arrive là : http://adultfriendfinder.com/p/register.cgi?pid=p1011105.subdirs&ip=auto&no_click=1&alpo_redirect=1#/regpage/1
EDIT2: re-testé en navigation privée j'arrive sur adultfinder
-
beh je n'ai rien moi ...
çà parait bizarre quand même ... ce n'est pas parce que rien de louche n'a été trouvé, qu'il n'y a rien.
tu as mis quoi exactement comme UA ?
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10) AppleWebKit/537.16 (KHTML, like Gecko) Version/8.0 Safari/537.16
au lieu de celui par défaut
@BadMax Bon doit y avoir quelque-chose de plus que l'UserAgent alors qui joue. Au début je pensais que c'était limité uniquement à ceux indiquant Windows ou OS X... Chelou cette infection, y a un paquet de forums infectés.
-
je viens de l'avoir sous win 7 pro chrome (UA de base)
j'ai été redirigé vers
http://nxeleee31gf0tm3vzwkosfi.istanbultoner.org/index.php?e=cWxnYW1nYT1oZyZ0aW1lPTE1MDEzMTE1MzQyNjAwOTc5MDE3JnNyYz03NiZzdXJsPWZpbGVzdG9yZTMyMS5jb20mc3BvcnQ9ODAma2V5PTVGOUM2RUMzJnN1cmk9L2Rvd25sb2FkLnBocCUzZmlkPTYxZGE2MzJjpuis
http://p1x3vlnwee11e3oorkaeg7p.ayakkabimodelleri.tv.tr/forum.php?xx=1&aid=2&atr=dirs&src=76&flag=direct
puis j'ai coupé le wifi pour stopper les redirections ...
-
J'ai examiné les logs de mon proxy. J'ai coupé au moment où on arrive sur filestore :
1422718822.902 92 10.1.6.19 TCP_MISS/200 684 GET https://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCsQFjAA&url=http%3A%2F%2Fforum.nextinpact.com%2Ftopic%2F140268-logiciel-pc-au-raenti%2F&ei=WffMVL2dIOXdywOOqICADA&usg=AFQjCNE7jpn9EBcQ_l2ad-VOCR5fb3Wqpw&bvm=bv.85076809,d.bGQ - HIER_DIRECT/2a00:1450:400c:c03::5e text/html
1422718823.273 342 10.1.6.19 TCP_MISS/200 25454 GET http://forum.nextinpact.com/topic/140268-logiciel-pc-au-raenti/ - HIER_DIRECT/23.97.211.78 text/html
1422718823.322 115 10.1.6.19 TCP_MISS/200 753 GET http://fonts.googleapis.com/css?family=PT+Sans:400,400italic,700 - HIER_DIRECT/2a00:1450:400c:c03::5f text/css
1422718823.325 117 10.1.6.19 TCP_MISS/200 668 GET http://fonts.googleapis.com/css?family=Droid+Sans - HIER_DIRECT/2a00:1450:400c:c03::5f text/css
1422718823.331 103 10.1.6.19 TCP_MISS/200 885 GET http://fonts.googleapis.com/css?family=Dosis:400,500 - HIER_DIRECT/2a00:1450:400c:c03::5f text/css
1422718823.338 107 10.1.6.19 TCP_MISS/200 641 GET http://fonts.googleapis.com/css?family=Cuprum - HIER_DIRECT/2a00:1450:400c:c03::5f text/css
1422718823.343 107 10.1.6.19 TCP_MISS/200 667 GET http://fonts.googleapis.com/css?family=Oswald:300 - HIER_DIRECT/2a00:1450:400c:c03::5f text/css
1422718823.353 149 10.1.6.19 TCP_MISS/200 1470 GET http://forum.nextinpact.com/public/style_css/css_57/ipb_print.css - HIER_DIRECT/23.97.211.78 text/css
1422718823.442 239 10.1.6.19 TCP_MISS/200 28201 GET http://forum.nextinpact.com/public/min/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&f=public/style_css/css_57/ips-skins.css,public/style_css/css_57/maxx_light_social_icons.css,public/style_css/css_57/ajouz.css,public/style_css/css_57/custom_block_css.css,public/style_css/css_57/ipb_styles.css,public/style_css/css_57/calendar_select.css,public/style_css/css_57/ipb_common.css,public/style_css/css_57/pro_styles.css,public/style_css/css_57/ipshoutbox.css,public/style_css/prettify.css - HIER_DIRECT/23.97.211.78 text/css
1422718823.508 304 10.1.6.19 TCP_MISS/200 39795 GET http://forum.nextinpact.com/public/min/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&charset=UTF-8&f=public/js/ipb.js,cache/lang_cache/3/ipb.lang.js,public/js/ips.hovercard.js,public/js/ips.quickpm.js,public/js/ips.sharelinks.js,public/js/ips.topic.js,public/js/ips.like.js - HIER_DIRECT/23.97.211.78 application/x-javascript
1422718823.511 307 10.1.6.19 TCP_MISS/200 48601 GET http://forum.nextinpact.com/public/min/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&g=js - HIER_DIRECT/23.97.211.78 application/x-javascript
1422718823.781 578 10.1.6.19 TCP_MISS/200 489 GET http://forum.nextinpact.com/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&g=js - HIER_DIRECT/23.97.211.78 text/html
1422718823.796 12 10.1.6.19 TAG_NONE_ABORTED/000 0 GET http://nextinpact.fr.intellitxt.com/intellitxt/front.asp?ipid=17159 - HIER_NONE/- -
1422718823.797 13 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/js/3rd_party/prettify/lang-sql.js - HIER_DIRECT/23.97.211.78 -
1422718823.798 14 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/js/3rd_party/prettify/prettify.js - HIER_DIRECT/23.97.211.78 -
1422718823.798 13 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/js/3rd_party/lightbox.js - HIER_DIRECT/23.97.211.78 -
1422718823.803 16 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_images/smart34xbuild2/lock.png - HIER_DIRECT/23.97.211.78 -
1422718823.803 4 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/index.php?s=9d86288d155146d993d28207fb1dff72&app=core&module=task - HIER_DIRECT/23.97.211.78 -
1422718823.803 17 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_images/smart34xbuild2/icon_share.png - HIER_DIRECT/23.97.211.78 -
1422718823.803 15 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.pcinpact.com/public/style_emoticons/default/icon_mrgreen.gif - HIER_DIRECT/23.97.211.78 -
1422718823.803 0 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/sharelinks/print.png - HIER_DIRECT/23.97.211.78 -
1422718823.803 19 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_images/smart34xbuild2/logo.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 1 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/sharelinks/email.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 3 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/sharelinks/digg.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 8 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://i39.tinypic.com/1zyg1gx.jpg - HIER_DIRECT/68.232.35.169 -
1422718823.804 18 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_images/smart34xbuild2/bullet_arrow_up.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 2 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/sharelinks/delicious.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 18 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/team_icons/normal0.png - HIER_DIRECT/23.97.211.78 -
1422718823.804 16 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://infomars.fr/partenaires/fah_userbar.png - HIER_DIRECT/213.186.33.2 -
1422718823.806 20 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://www.gravatar.com/avatar/c47bc71a43f5975f114e82efa40e096d?s=125&d=http%3A%2F%2Fforum.nextinpact.com%2Fpublic%2Fstyle_images%2Fsmart34xbuild2%2Fprofile%2Fdefault_large.png - HIER_DIRECT/2606:2800:234:124e:17ca:871:eb2:2067 -
1422718823.806 22 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_images/smart34xbuild2/useropts_arrow.png - HIER_DIRECT/23.97.211.78 -
1422718823.806 19 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_emoticons/default/anciens.png - HIER_DIRECT/23.97.211.78 -
1422718823.807 19 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://www.gravatar.com/avatar/2ba9c3c07b052824ab99646dc8f8c503?s=125&d=http%3A%2F%2Fforum.nextinpact.com%2Fpublic%2Fstyle_images%2Fsmart34xbuild2%2Fprofile%2Fdefault_large.png - HIER_DIRECT/2606:2800:234:124e:17ca:871:eb2:2067 -
1422718823.807 6 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://forum.nextinpact.com/public/style_extra/sharelinks/twitter.png - HIER_DIRECT/23.97.211.78 -
1422718823.808 22 10.1.6.19 TCP_MISS_ABORTED/000 0 GET http://www.gravatar.com/avatar/c3f030fdebf956488b6bc5e1f746a22d?s=125&d=http%3A%2F%2Fforum.nextinpact.com%2Fpublic%2Fstyle_images%2Fsmart34xbuild2%2Fprofile%2Fdefault_large.png - HIER_DIRECT/2606:2800:234:124e:17ca:871:eb2:2067 -
1422718824.123 314 10.1.6.19 TCP_MISS/200 4069 GET http://filestore321.com/download.php?id=61da632c - HIER_DIRECT/66.199.231.59 text/html
C'est quoi gravatar ?
-
Gravatar est un système d'avatar centralisé pour plusieurs sites. En renseignant juste ton adresse email, le site récupère ton avatar sur Gravatar.
Mais ça me chiffonne un peu. Je ne savais pas que NextInpact utilise Gravatar, et d'autres sites l'exploitant ne semblent pas avoir le problème.
Le seul point commun que j'ai noté est IP.Board.
Deux semaines que je me prend la tête...
Edit: On pourrait aussi penser à une régie de pub louche... Mais une fois encore, je ne vois pas pourquoi seuls des forums seraient touchés. :/
Edit2: J'ai trouvé le cookie qui prédétermine la redirection ou non : lang_id: en
Si présent -> pas de redirection
Si absent -> redirection
Edit 3:
Bon je leur envoi un second email pour les avertir du dit cookie... Si vous voyez des forums pas à jour, hésitez pas à faire de même.
En tout cas maintenant je sais d'où ça vient. Quand on fait une recherche sur ces urls de redirection, à chaque fois on trouve uniquement des informations sur des infections côté client.
-
J'ai été obligé de faire une capture wireshark pour comprendre...
A un moment donné, on a ça :
document.location='http://filestore321.com/download.php?id=61da632c'
En réponse à cette URL : http://forum.nextinpact.com/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&g=js
Dans les .js, un seul fait appel à "document.location" : les paramètres sont détournés à un moment
http://forum.nextinpact.com/public/min/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&charset=UTF-8&f=public/js/ipb.js,cache/lang_cache/3/ipb.lang.js,public/js/ips.hovercard.js,public/js/ips.quickpm.js,public/js/ips.sharelinks.js,public/js/ips.topic.js,public/js/ips.like.js
-
Impossible à trouver cette référence dans celui que tu lies. Le fichier me semble être servi différemment.
-
C'est parce que c'est là que ça se passe :)
url=url.replace(/&/g,'&');url=url.replace(/(http:|https:)?\/\//g,function($0,$1){return $1?$0:'/';});document.location=url;return;},openNewWindow:function(e,link,force)
-
Ce n'est pas aussi explicite, j'aurai plutôt cru à du code normal d'IPB. :/
Je continue de regarder aussi.
var options=ipb.global.pageJumps[jumpid];if(!options){Debug.dir(ipb.global.pageJumps);
[...]
var url = options.url + separator + options.stKey + '=' + pageNum;
if(options.anchor) {
url=url+options.anchor;
}
url = url.replace(/&/g,'&');
url = url.replace(/(http:|https:)?\/\//g,function($0,$1){
return $1?$0:'/';
});
document.location = url;
return;
-
Trouvé \o/
Avec cette ligne de commande, on a la redirection :
wget --header="Cookie: session_id=7af6a84e9c3ccd09c527e88115e36b9d; itemMarking_forums_items=eJyrVjI0MTAys1CyMjQxMjIHXCIL01pcMDKiBLQ%2C" --referer=http://forum.nextinpact.com/topic/140268-logiciel-pc-au-raenti/ "http://forum.nextinpact.com/index.php?ipbv=f1af2c0809c19ca79dcf8d3763475818&g=js"
Conclusion: c'est carrèment dans le forum que c'est infecté :/
EDIT: les deux cookies indiqués sont nécessaires ainsi que le referer
-
Ben c'est ce que je disais, un problème avec des forums IPB qui n'ont pas du être mis à jour à temps. J'ai du tomber sur des dizaines de sites comme ça... Certains ont patché entre temps -> http://forums.dayzgame.com/index.php?/topic/219044-what-is-httpfilestore321com/
Au début, quand tu tombes sur ce genre de pages tu penses d'abord à un cybersquatting d'un domaine qui n'a pas été renouvelé.
Puis après tu commences à douter de tes machines, surtout quand d'autres utilisateurs ne semblent pas aussi reproduire le problème.
Enfin quand tu as compris...
Edit: Et rajouter le fameux cookie lang_id "évite" bien la redirection...
wget --header="Cookie: lang_id=en; session_id=7af6a84e9c3ccd09c527e88115e36b9d; itemMarking_forums_items=eJyrVjI0MTAys1CyMjQxMjIHXCIL01pcMDKiBLQ%2C" --referer=http://forum.nextinpact.com/topic/140268-logiciel-pc-au-raenti/ "http://forum.nextinpact.com/index.php?ipbv=f1a3D3Cf2c0809c19ca79dcf8d3763475818&g=js
-
bravo pour l'analyse,
quelqu'un prévient next impact ? je pense qu'ils traiteront le soucis ...
-
Déjà prévenus par email mais pas encore obtenu de retour.
En effet jolie analyse de BadMax, je n'avais que gratté en surface pour ma part.
-
Déjà prévenus par email mais pas encore obtenu de retour.
En effet jolie analyse de BadMax, je n'avais que gratté en surface pour ma part.
Merci, je revenais du ski, j'étais dans le canapé, ça m'amusais de comprendre :)
N'empeche, c'est vicieux et j'aimerai bien savoir comment l'infection a été faite.
-
Salut,
il y a eu des news ?
-
Bonjour,
Dans un premier temps, désolé de remonter ce sujet mais je rencontre ce problème sur mon forum et cela fait plusieurs semaines que je cherche désespérèment des informations sur comment le corriger. Je vois qu'un solution est donnée mais je ne comprend pas où je dois éditer ces lignes de commandes pour corriger toutes ces redirections.
J'aimerai donc savoir où je dois chercher et regarder.
Merci encore pour votre réponse
Guillaume