Aller au contenu

redirection malveillante sur le forum


bigjam

Messages recommandés

Bonjour,

 

Quand je viens sur votre forum à partir des résultats de Google, je suis redirigé vers un site malveillant (contenant de fausse mise a jour du plugin flash) :

 

          filestore321_dot_com/download.php?id=b1864739

 

ps: pour avoir l'url exacte remplacer _dot_ par un point

 

Ca se produit uniquement lors de la première visite.

Si j’efface les cookies ca recommence.

 

J’ai constaté la même chose sur d’autre forum, dont celui de frandroid.com.

 

J’ai d’abord pensé à une infection de ma machine.

 

Ne trouvant rien, j’ai testé avec 3 ordis différents avec des systèmes différents. (Win XP, Win 7, Mac OS X)

Résultat toujours la même redirection.

 

J’ai alors essayé de trouver la source de cette redirection sur votre forum.

Et je crois avoir trouvé le script responsable :

 

forum.nextinpact.com/index.php?ipbv=f8d544a7e94edc8dd2aead96fc391458&g=js

 

En bloquant uniquement ce script la redirection s’arrête.

 

Il semblerait que votre CMS de forum Invision Power Board a été compromis.

 

(frandroid.com qui est également touché, utilise le même CMS de forum)

 

Encore une fois, ca se produit uniquement depuis les résultats de recherche, la première fois, et sur certain forum IP.Board.

 

En fouillant sur le net, j’ai trouvé un site anglophone qui analyse une attaque similaire sur IP.Board qui c’est produite y a 2 ans :

 

            http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

 

Il explique comment trouver le javascript injecté dans les scripts PHP pour pouvoir nettoyer le forum.

 

Si ca peut servir au admin pour résoudre le problème…

 

Cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ce retour, je vais regarder. De mon côté, je reproduits le problème (IE11 sous Win7). J'ai testé en passant en mode Inprivate pour être sûr que le navigateur n'a rien en mémoire et, uniquement si on vient d'un moteur de recherche, ça provoque la redirection. En saisissant l'adresse manuellement, ça ne se produit pas.

 

Je vais regarder ce que je peux faire.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Hello,

 

ce matin après reboot PC et vidage cookie, historique, etc; avant d'arriver sur http://www.nextinpact.com/, j'ai eu le droit à une page de vérification anti DDOS de mon browser.

 

Est ce que c'est voulu par les admins?

 

C'est normal, ça arrive de temps en temps (avec le site NXI aussi). Et c'était sans doute une page Cloudflare et pas une page de ton navigateur, non ?

Lien vers le commentaire
Partager sur d’autres sites

C'est normal, ça arrive de temps en temps (avec le site NXI aussi). Et c'était sans doute une page Cloudflare et pas une page de ton navigateur, non ?

 

Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site)

Lien vers le commentaire
Partager sur d’autres sites

Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site)

 

NXI subit actuellement une attaque DDOS, d'où Cloudflare qui fait barrage. Ca devrait passer d'ici quelques heures.

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

C'est pour ça que depuis une semaine environ le site est très lent ? Chez moi, les pages sont vraiment longues à s'afficher, sans parler des commentaires qui parfois ne se chargent même pas par moments.

 

Pendant un instance, j'ai eu peur que ça vienne de mon routeur pfSense qui a subi une mise à jour au même moment.

 

Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site)

Ca arrive aussi régulièrement sur le site de Teamspeak. J'y ai droit à quasiment chaque visite quand je veux charger le client ou le serveur.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...