Attention virus sur pyrenees-team!

[mitomat]

Encore une alerte de mon antivirus ce soir sur la page d'accueil.
Le fichier incriminé est mega_dropdown_menu2.js

[Shlaag]

Pour approuvé Mitomat, j'ai été infecté il y a environ un mois en allant sur la page d'accueil du site ...
du coup, reboot system et obliger de charger une version précédente de mon ordi car plus aucune commande disponible sous windows ...

Vous risquez de ne plus me voir souvent sur le site désolé

[Gérard]

Bonsoir,

C'est bizarre votre truc.
Est-ce bien le site qui vous a vérolé ou est-ce vous qui avez chopé un virus ailleurs et qui a réagit avec Pteam ?
Qu'en pense Pteam ?
Outre mon logiciel "chien de garde" (classé en tête) qui n'a jamais aboyé contre Pteam, j'ai fais les 2 test suivants :
http://www.siteadvisor.com/sites/pyrenees-team.com/
http://www.urlvoid.com/scan/pyrenees-team.com/
Il y a probablement d'autres possibilités de tests.

J'ajoute qu'une bonne protection interdit l'accès à une page web vérolée et bloque le virus avant qu'il n'entre sur votre ordinateur.
Il n'est pas logique que vous ayez eu des déboires.
Il serait intéressant de faire une enquête générale (répondront aussi ceux qui n'ont pas eu d'alerte) du genre tableau :
Nom logiciel de protection; date de mise à jour; Type d'alerte; Date de l'alerte; Nom du virus détecté; Conséquences.

A bientôt
Gérard

[hujagono]

Personnellement, aucun PB de ce genre.
Norton antivirus comme logiciel de protection, et cela semble fonctionner correctement en ce qui concerne le blocage des intrus.
@+

[Cedric09]

F-Prot de mon côté et jamais aucune alerte sur PTeam !!

[NanarLeRenar]

Bonjour,

J'ai également été contaminé comme mitomat et Schlaag par un cheval de troie "Hadopi", en navigant sur le site Pyrénées-team.
J'avais eu des alertes Yandex auparavant sans en tenir compte et mon antivirus Avira n'avait rien détecté.

Je précise que je suis SUR et CERTAIN que l'infection provient de P-team, puisque en ouvrant un message du forum, l'iframe cachée a lancé une popup bloquant le système.
L'attaque est extrêmement grave, avec un renifleur de mots de passe, et un blocage système. La désinfection et les réparations liées (modification de tous mes mots de passe) a été relativement longue.

Pour info Gérard, les liens que tu donnes ne permettent pas de dire s'il y a réellement une infection sur le site.
Quant au blocage en amont du virus, c'est évidemment la meilleure chose, mais les anti-virus, y compris payants, sont souvent des passoires par rapport aux NOUVEAUX virus qui n'ont pas encore été analysés.
Un check MSE m'a confirmé que les définitions contre ce trojan étaient très récentes.

Un conseil pour PTeam :
- vérifier que le serveur FTP n'ait pas été piraté, et modifier les accès
- vérifier les fichiers de type index.php ou l'ensemble des .html, le trojan se loge apparemment dans ces pages : à priori, du code javascript obfusqué et/ou iframe : pour la comparaison des fichiers, il faut tester la taille et la date de modification (exemple : 4 ou 8 Ko de plus pour le fichier infecté)
- faire une mise à jour de la version PHP BB du forum si elle existe
- passer un software comme Acutenix ou équivalent, pour évaluer la vulnérabilité du site Web, et résoudre les failles potentielles de sécurité (XSS, injection, nullbyte...)

Pour tous ceux qui ont été infectés :
utiliser les outils suivants : Malwarebytes Anti-malware, RogueKiller, ZHPDiag + ZHPFix (excellent outil) + installer un firexwall de type ZoneAlarm, plus efficace que le parefeu windows.

En attendant que Pteam ait désinfecté le code (si ce n'est pas déjà fait), vérifiez l'état de vos protections avant de naviguer sur le site...

Bonne journée...

[Nico66]

Salut,
RAS pour moi, je tourne avec NORTON.
Aucunes alertes, rien.
Nico

[lpnaute]

Rien pour moi non plus.
Je suis sous Avast.

[NanarLeRenar]

Bonjour,

Je pense que c'est surtout à Pteam de désinfecter les pages du site qui l'ont été.
Cette attaque d'avril/mai étant désormais connue par les principaux anti-virus (payants ou non), l'exécution de scripts malveillants est bloquée du coup.

Mais pour Pteam, à mon avis, plusieurs questions à se poser :
- quel est le mode d'intrusion : piratage du compte ftp, exploitation de failles de sécurité du framework php BB qui, tous les développeurs web le savent bien, en regorge...
- comment contrer cette intrusion : modifier les accès par sécurité, vérifier les mises à jour de php BB, analyser l'ensemble des scripts php et html à la recherche d'une faille, de scripts qui manifestement n'ont rien à faire là...
- si rien n'est fait, une nouvelle intrusion est possible, potentiellement non connue et non décelable par les anti-virus : on verra si les "fier-à-bras" du forum, trop confiants dans leurs (faibles) protections, continueront à donner des leçons...

Encore une fois, Pteam, si ce travail a déjà été fait, tant mieux, et bravo !

[Le Meur]

Il existe aussi des fausses alertes...
"mega drop down menu" ça a l'air d'être utilisé dans les codes de menu déroulants?
Pour ma part, pas de PB.
Antivirus Avast

[NanarLeRenar]

Une fausse alerte qui bloque ton écran, puis qui empeche ton système de démarrer sauf en mode sans échec, invite de commande windows, ce n'est pas ce que j'appellerais une "fausse alerte" LeMeur
Enfin à chacun de juger...

le "mega drop down menu" est effectivement un javascript ; ce type d'attaque se colle sur tous les fichiers susceptibles d'accueillir des javascript (fichiers php, html, js eux-mêmes...) et ajoute au bon code (en l'occurence un js qui gère l'affichage des sous-menus probablement) du code malicieux qui va s'exécuter sur la machine de l'internaute, si celle-ci ne détecte pas la menace.

[Shlaag]

Perso j'ai été contaminé deux fois et les deux fois sur le fofo de pteam ...

Je n'ai jamais autorisé une quelconque fenetre de s'ouvrir sans mon autorisation mais ce qui est plus grave c'est que la première fois, le virus a totalement transpersé mon anti-virus (avira) et la deuxième fois plus bizarre, j'ai a peine eu le temps de voir une fenetre d'alerte que mon écran c'est bloqué... puis manip cité plus haut.

Si vous n'etes pas tous contaminé tant mieux pour vous ! mais faites attention ce n'est pas de la fausse info ...

[Naïsa]

Une alerte que je reçois régulièrement:

[NanarLeRenar]

En tout cas, malgré les multiples alertes, on ne peut pas dire que tout ceci émeuve beaucoup notre webmaster PTeam. Je lui ai envoyé des MP sans réponse également...
La moindre des choses il me semble en ce genre de cas, est de mettre à disposition un site propre et de tout checker ou - si on n'en est pas capable soi-même - de demander conseil ou aide.

[Azimut]

Pour approuvé Mitomat, j'ai été infecté il y a environ un mois en allant sur la page d'accueil du site ...
du coup, reboot system et obliger de charger une version précédente de mon ordi car plus aucune commande disponible sous windows ...

Vous risquez de ne plus me voir souvent sur le site désolé

+1! deux alertes en une semaine