bigjam Posted February 9, 2015 Share Posted February 9, 2015 Bonjour, Quand je viens sur votre forum à partir des résultats de Google, je suis redirigé vers un site malveillant (contenant de fausse mise a jour du plugin flash) : filestore321_dot_com/download.php?id=b1864739 ps: pour avoir l'url exacte remplacer _dot_ par un point Ca se produit uniquement lors de la première visite. Si j’efface les cookies ca recommence. J’ai constaté la même chose sur d’autre forum, dont celui de frandroid.com. J’ai d’abord pensé à une infection de ma machine. Ne trouvant rien, j’ai testé avec 3 ordis différents avec des systèmes différents. (Win XP, Win 7, Mac OS X) Résultat toujours la même redirection. J’ai alors essayé de trouver la source de cette redirection sur votre forum. Et je crois avoir trouvé le script responsable : forum.nextinpact.com/index.php?ipbv=f8d544a7e94edc8dd2aead96fc391458&g=js En bloquant uniquement ce script la redirection s’arrête. Il semblerait que votre CMS de forum Invision Power Board a été compromis. (frandroid.com qui est également touché, utilise le même CMS de forum) Encore une fois, ca se produit uniquement depuis les résultats de recherche, la première fois, et sur certain forum IP.Board. En fouillant sur le net, j’ai trouvé un site anglophone qui analyse une attaque similaire sur IP.Board qui c’est produite y a 2 ans : http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Il explique comment trouver le javascript injecté dans les scripts PHP pour pouvoir nettoyer le forum. Si ca peut servir au admin pour résoudre le problème… Cordialement. Link to comment Share on other sites More sharing options...
Edtech Posted February 9, 2015 Share Posted February 9, 2015 Merci pour ce retour, je vais regarder. De mon côté, je reproduits le problème (IE11 sous Win7). J'ai testé en passant en mode Inprivate pour être sûr que le navigateur n'a rien en mémoire et, uniquement si on vient d'un moteur de recherche, ça provoque la redirection. En saisissant l'adresse manuellement, ça ne se produit pas. Je vais regarder ce que je peux faire. Link to comment Share on other sites More sharing options...
Edtech Posted February 9, 2015 Share Posted February 9, 2015 Le problème devrait être corrigé maintenant (et ne pas revenir). Link to comment Share on other sites More sharing options...
SiskoKorobase Posted February 9, 2015 Share Posted February 9, 2015 J'avais remarqué le truc du plugin flash foireux mais je ne pensais pas que ça pouvais venir du forum.....La prochaine fois je signalerai aussi car ça m'est arrivé il y a plus d'une semaine. Link to comment Share on other sites More sharing options...
Zekk Posted March 17, 2015 Share Posted March 17, 2015 Hello, ce matin après reboot PC et vidage cookie, historique, etc; avant d'arriver sur http://www.nextinpact.com/, j'ai eu le droit à une page de vérification anti DDOS de mon browser. Est ce que c'est voulu par les admins? Link to comment Share on other sites More sharing options...
Edtech Posted March 17, 2015 Share Posted March 17, 2015 Hello, ce matin après reboot PC et vidage cookie, historique, etc; avant d'arriver sur http://www.nextinpact.com/, j'ai eu le droit à une page de vérification anti DDOS de mon browser. Est ce que c'est voulu par les admins? C'est normal, ça arrive de temps en temps (avec le site NXI aussi). Et c'était sans doute une page Cloudflare et pas une page de ton navigateur, non ? Link to comment Share on other sites More sharing options...
Zekk Posted March 17, 2015 Share Posted March 17, 2015 C'est normal, ça arrive de temps en temps (avec le site NXI aussi). Et c'était sans doute une page Cloudflare et pas une page de ton navigateur, non ? Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site) Link to comment Share on other sites More sharing options...
Edtech Posted March 17, 2015 Share Posted March 17, 2015 Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site) NXI subit actuellement une attaque DDOS, d'où Cloudflare qui fait barrage. Ca devrait passer d'ici quelques heures. Link to comment Share on other sites More sharing options...
P-A Posted March 17, 2015 Share Posted March 17, 2015 Hello, C'est une protection temporaire, on l'active quand on observe des flux entrant anormaux (DDoS etc.) Link to comment Share on other sites More sharing options...
Jaskier Posted March 17, 2015 Share Posted March 17, 2015 Salut, C'est pour ça que depuis une semaine environ le site est très lent ? Chez moi, les pages sont vraiment longues à s'afficher, sans parler des commentaires qui parfois ne se chargent même pas par moments. Pendant un instance, j'ai eu peur que ça vienne de mon routeur pfSense qui a subi une mise à jour au même moment. Oui, je me suis mal exprimé; je voulais dire que Cloudfire a inspecté mon browser avant connexion au site. C'est la 1ere fois que je vois ça, je me demandais juste si c'était une nouvelle option de sécurité rajoutée par les admins du site (et non pas une page de scam/phishing injectée en redirection DNS avant la connexion au site) Ca arrive aussi régulièrement sur le site de Teamspeak. J'y ai droit à quasiment chaque visite quand je veux charger le client ou le serveur. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.