Re,
Je crois que vous n'avez pas saisi nous faisons du réseau et de
l'hébergement pour la plupart d'entre nous.
Chez nous ou chez nos prestataires (oui j'ai aussi des serveurs chez ovh,
gandi, etc... ainsi que perso.), par contre comme je le fais remarquer ce
n'est pas le bon endroit pour diffuser cette info. des alertes sur de
l'injonction on en a tous les jours et perso. ce qui va focalise mon
attention actuellement ça va être les joyeux noël et meilleurs vœux
envoyés pour noël et le 1er de l'an via sms/mail pour ne pas faire tomber
le tout.
Donc votre démarche est louable mais franchement s'adresse comme je disais
aux hébergeurs du dimanche et un conseil référé vous à mon premier message.
En bref lorsque un client prend un hébergement chez un fournisseur d'accès
ou va le créer chez soi il est responsable intégralement.
N'est ce pas ce que veut faire comprendre l'hadopi par exemple ?
Que ça touche la gendarmerie, sa banque ou n'importe quoi c'est pareil.
Le Thu, 22 Dec 2011 20:38:42 +0100, Eric Freyssinet <e...@frsnet.com> a
écrit:
Bonsoir M. Refuzinkster (...)
Mon message s'adresse aux personnes qui lisent cette liste, pas aux
administrateurs du dimanche, même s'il y en a peut-être dans la liste.
Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni
chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous
exprimer à leur place. En l'occurrence les hébergeurs traitent les
sollicitations de leurs clients et c'est mieux s'ils sont informés.
Par ailleurs, les services abuse des hébergeurs sont les personnes
chargées de traiter ce type d'informations, en tous cas c'est comme
cela que fonctionne Internet jusqu'à aujourd'hui.
J'essaie simplement d'apporter une information. A chacun d'en faire ce
qu'il veut. En l'occurrence des centaines de personnes en France ont
été victimes de ces faits depuis moins d'une quinzaine de jours et
vous n'avez pas ces éléments.
Très cordialement,
Eric Freyssinet
2011/12/22 Refuznikster <refuzniks...@gmail.com>:
Bonsoir,
Je suis désolé mais je crois que c'est le mauvais endroit pour avertir
des
administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
Pour une vieille d'alerte je vous conseillerais plutôt des sites
traitant
d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le
JdN,
clubic, etc... Bref des sites lus par de possible administrateur du
dimanche.
Sinon cet injection javascript est assez courante, je l'avais déja noté
il y
a 2 ou 3 ans.
Celle-ci est corrigé depuis un sacré bout de temps sur les versions
récentes
des blogs et cms les plus connus.
Cordialement,
Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet <e...@frsnet.com> a
écrit:
Bonjour,
Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
lutte contre la cybercriminalité de la gendarmerie nationale à
Rosny-sous-Bois.
Dans le cadre de nos activités de coordination de l'action de la
gendarmerie contre la délinquance sur Internet, nous réalisons une
veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
autres formes) qui est diffusé actuellement. Nous informons aussi le
public des risques associés pour prévenir l'impact de ce phénomène
particulier. Pour plus d'informations, vous pouvez visiter mon blog
personnel :
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
Dans la soirée de mercredi 21 décembre a été porté à notre attention
(via le site suivant:
http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
une variante ou une évolution du mode de diffusion de ces logiciels
malveillants.
Cette fois-ci il s'agit de modifications de sites Web opérées
frauduleusement, vraisemblablement en exploitant des vulnérabilités
dans des CMS, Forums et autres de scripts PHP de publication. Après
l'attaque, les sites présentent des fichiers javascript
supplémentaires ou modifiés qui contiennent de façon obfusquée un code
incluant automatiquement du contenu provenant d'un serveur distant.
Ce code prend la forme suivante: (voir l'image)
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
Je tiens à disposition des versions texte pour ceux qui le souhaitent.
Il s'agit d'un encodage assez basique au format hexadécimal qui
renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
91.196.216.64 (voir la version décodée ici:
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
type de sites et ne filtrant pas ou ne détectant pas ce type de code
obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
contient un script de type "BlackHole Exploit Kit" qui exploite les
vulnérabilités de la machine pour exécuter finalement le code
malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
ne fonctionnera que sur les machines vulnérables (non à jour des
derniers patchs de système d'exploitation, navigateurs, et ajouts type
Java, Flash, Adobe...).
Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
qui correspondaient notamment des sites à fort traffic dans la liste
qui pour l'instant a été identifiée (celle présente sur le blog
Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
effectivement concernés). Des retours que nous avons des premiers
gestionnaires de sites, de très nombreux, voire la totalité des
fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
On peut donc supposer que l'inclusion de ce code malveillant a été
faite de façon automatique, en exploitant des vulnérabilités.
J'espère que ces informations vous seront utiles. N'hésitez pas à me
contacter en cas de question, soit sur la présente liste, soit sur mes
adresses ci-dessous. Merci de me faire tous retours sur des
désinfections de sites réussies.
Cordialement,
--
-----------------------
Refuznik
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
-----------------------
Refuznik
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
