Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-24 Par sujet SDL 
Le 23 décembre 2011 09:27, Dominique Rousseau  a écrit :

> Le Thu, Dec 22, 2011 at 09:36:35PM +0100, Refuznikster [
> refuzniks...@gmail.com] a écrit:
> > Re,
> >
> > Je crois que vous n'avez pas saisi nous faisons du réseau et de
> > l'hébergement pour la plupart d'entre nous.
>
> Et à ce titre là, le mail d'Eric n'est pas hors-sujet.
>
> Juste, il faut aussi le diffuser par d'autres canaux. Mais ça, je pense
> qu'il est assez grand pour le trouver tout seul :o)
>  


Un peu d'espoir pour nos petits schtroumpfs

>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet Matthieu CERDA 
On 23 déc. 2011, at 10:45, Philippe Bourcier  wrote:

> 
> Bonjour,
> 
>>> Je crois que vous n'avez pas saisi nous faisons du réseau et de
>>> l'hébergement pour la plupart d'entre nous.
>> 
>> Et à ce titre là, le mail d'Eric n'est pas hors-sujet.
> 
> Je confirme, s'il le fallait que ce genre de message n'est pas hors sujet, il 
> mériterait un peu plus de technique afin que les hébergeurs aient des moyens 
> d'aller vérifier que les sites qu'ils hébergent ne contiennent pas le malware 
> en question mais la sécurité des infrastructures Internet et d'Internet en 
> général est un sujet tout à fait dans la charte.
> 
> 
> Cordialement,
> -- 
> Philippe Bourcier
> web : http://sysctl.org/
> blog : http://zsysctl.blogspot.com
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

Bonjour,

(Salut a tous je suis nouveau. Dire ça un trolldedi c'est quasi du suicide mais 
bon :) )

Je pense que la meilleure chose a faire est de remercier Éric pour son mail et 
de passer a autre chose, la discussion dérive un peu sur d'autres sujets la.

On peut ouvrir une autre discussion sur le sujet au pire !

Bonne journée a tous.
--
Matthieu CERDA

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet Philippe Bourcier 


Bonjour,


Je crois que vous n'avez pas saisi nous faisons du réseau et de
l'hébergement pour la plupart d'entre nous.


Et à ce titre là, le mail d'Eric n'est pas hors-sujet.


Je confirme, s'il le fallait que ce genre de message n'est pas hors sujet, il 
mériterait un peu plus de technique afin que les hébergeurs aient des moyens 
d'aller vérifier que les sites qu'ils hébergent ne contiennent pas le malware 
en question mais la sécurité des infrastructures Internet et d'Internet en 
général est un sujet tout à fait dans la charte.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet olivier depinois 
Tellement vrai...

+1

Le 23 décembre 2011 09:57, Herve Le Guillou  a
écrit :

> Certains sur cette liste ne cachent pas leur aversion pour les forces de
> l'ordre, combien de fois ais-je entendu des propos de type "les flics sont
> nazes, ils ne savent même pas ce qu'est BGP, etc.etc."
>
> Pour une fois que l'un de ces membres s'exprime sur la liste, en plus
> quelqu'un de compétent en la matière, qui pourrait probablement en
> remontrer à certains admins, il se fait basher copieusement. Je pense que
> l'on ne l'y reprendra plus.
>
> Comme d'habitude, les gens qui ont un tant soit peu le pied dans la
> cybercriminalité ne peuvent que se foutre de la gueule de cette liste
> FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est
> effectivement à se demander si certains de ses membres ne sont pas des
> "admins du dimanche" comme il a été dit, tellement ils ont de temps à
> perdre en discussions stériles.
>
> RV.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet Nicolas MICHEL 
+1



Le 23 déc. 2011 à 09:57, Herve Le Guillou  a écrit :

> Certains sur cette liste ne cachent pas leur aversion pour les forces de
> l'ordre, combien de fois ais-je entendu des propos de type "les flics sont
> nazes, ils ne savent même pas ce qu'est BGP, etc.etc."
> 
> Pour une fois que l'un de ces membres s'exprime sur la liste, en plus
> quelqu'un de compétent en la matière, qui pourrait probablement en
> remontrer à certains admins, il se fait basher copieusement. Je pense que
> l'on ne l'y reprendra plus.
> 
> Comme d'habitude, les gens qui ont un tant soit peu le pied dans la
> cybercriminalité ne peuvent que se foutre de la gueule de cette liste
> FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est
> effectivement à se demander si certains de ses membres ne sont pas des
> "admins du dimanche" comme il a été dit, tellement ils ont de temps à
> perdre en discussions stériles.
> 
> RV.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet Herve Le Guillou 
Certains sur cette liste ne cachent pas leur aversion pour les forces de
l'ordre, combien de fois ais-je entendu des propos de type "les flics sont
nazes, ils ne savent même pas ce qu'est BGP, etc.etc."

Pour une fois que l'un de ces membres s'exprime sur la liste, en plus
quelqu'un de compétent en la matière, qui pourrait probablement en
remontrer à certains admins, il se fait basher copieusement. Je pense que
l'on ne l'y reprendra plus.

Comme d'habitude, les gens qui ont un tant soit peu le pied dans la
cybercriminalité ne peuvent que se foutre de la gueule de cette liste
FrNog, qui n'apporte finalement jamais rien hormis du troll. C'est
effectivement à se demander si certains de ses membres ne sont pas des
"admins du dimanche" comme il a été dit, tellement ils ont de temps à
perdre en discussions stériles.

RV.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-23 Par sujet Dominique Rousseau 
Le Thu, Dec 22, 2011 at 09:36:35PM +0100, Refuznikster [refuzniks...@gmail.com] 
a écrit:
> Re,
> 
> Je crois que vous n'avez pas saisi nous faisons du réseau et de
> l'hébergement pour la plupart d'entre nous.

Et à ce titre là, le mail d'Eric n'est pas hors-sujet.

Juste, il faut aussi le diffuser par d'autres canaux. Mais ça, je pense
qu'il est assez grand pour le trouver tout seul :o)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Patrick Maigron 
Le 22/12/2011 20:04, Refuznikster a écrit :
> Je suis désolé mais je crois que c'est le mauvais endroit pour avertir
> des administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
> Pour une vieille d'alerte je vous conseillerais plutôt des sites
> traitant d'informatique pouvant relayer votre alerte, dans le désordre
> zdnet, le JdN, clubic, etc...

D'après le post sur blog.crimenumerique.fr, l'information sur le virus,
au moins dans sa première version, a bien été transmise par la
gendarmerie via l'AFP à des sites d'infos grand public et informatiques
(Numérama, 01Net, Génération NT, etc.).

Patrick.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Refuznikster 

Re,

Je crois que vous n'avez pas saisi nous faisons du réseau et de  
l'hébergement pour la plupart d'entre nous.


Chez nous ou chez nos prestataires (oui j'ai aussi des serveurs chez ovh,  
gandi, etc... ainsi que perso.), par contre comme je le fais remarquer ce  
n'est pas le bon endroit pour diffuser cette info. des alertes sur de  
l'injonction on en a tous les jours et perso. ce qui va focalise mon  
attention  actuellement ça va être les joyeux noël et meilleurs vœux  
envoyés pour noël et le 1er de l'an via sms/mail pour ne pas faire tomber  
le tout.


Donc votre démarche est louable mais franchement s'adresse comme je disais  
aux hébergeurs du dimanche et un conseil référé vous à mon premier message.
En bref lorsque un client prend un hébergement chez un fournisseur d'accès  
ou va le créer chez soi il est responsable intégralement.

N'est ce pas ce que veut faire comprendre l'hadopi par exemple ?

Que ça touche la gendarmerie, sa banque ou n'importe quoi c'est pareil.



Le Thu, 22 Dec 2011 20:38:42 +0100, Eric Freyssinet  a  
écrit:



Bonsoir M. Refuzinkster (...)

Mon message s'adresse aux personnes qui lisent cette liste, pas aux
administrateurs du dimanche, même s'il y en a peut-être dans la liste.

Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni
chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous
exprimer à leur place. En l'occurrence les hébergeurs traitent les
sollicitations de leurs clients et c'est mieux s'ils sont informés.
Par ailleurs, les services abuse des hébergeurs sont les personnes
chargées de traiter ce type d'informations, en tous cas c'est comme
cela que fonctionne Internet jusqu'à aujourd'hui.

J'essaie simplement d'apporter une information. A chacun d'en faire ce
qu'il veut. En l'occurrence des centaines de personnes en France ont
été victimes de ces faits depuis moins d'une quinzaine de jours et
vous n'avez pas ces éléments.

Très cordialement,

Eric Freyssinet

2011/12/22 Refuznikster :

Bonsoir,

Je suis désolé mais je crois que c'est le mauvais endroit pour avertir  
des

administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
Pour une vieille d'alerte je vous conseillerais plutôt des sites  
traitant
d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le  
JdN,

clubic, etc...  Bref des sites lus par de possible administrateur du
dimanche.

Sinon cet injection javascript est assez courante, je l'avais déja noté  
il y

a 2 ou 3 ans.
Celle-ci est corrigé depuis un sacré bout de temps sur les versions  
récentes

des blogs et cms les plus connus.

Cordialement,





Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet  a
écrit:



Bonjour,

Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
lutte contre la cybercriminalité de la gendarmerie nationale à
Rosny-sous-Bois.
Dans le cadre de nos activités de coordination de l'action de la
gendarmerie contre la délinquance sur Internet, nous réalisons une
veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
autres formes) qui est diffusé actuellement. Nous informons aussi le
public des risques associés pour prévenir l'impact de ce phénomène
particulier. Pour plus d'informations, vous pouvez visiter mon blog
personnel :
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/

Dans la soirée de mercredi 21 décembre a été porté à notre attention
(via le site suivant:

http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
une variante ou une évolution du mode de diffusion de ces logiciels
malveillants.

Cette fois-ci il s'agit de modifications de sites Web opérées
frauduleusement, vraisemblablement en exploitant des vulnérabilités
dans des CMS, Forums et autres de scripts PHP de publication. Après
l'attaque, les sites présentent des fichiers javascript
supplémentaires ou modifiés qui contiennent de façon obfusquée un code
incluant automatiquement du contenu provenant d'un serveur distant.

Ce code prend la forme suivante: (voir l'image)

http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
Je tiens à disposition des versions texte pour ceux qui le souhaitent.

Il s'agit d'un encodage assez basique au format hexadécimal qui
renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
91.196.216.64 (voir la version décodée ici:

http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)

Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
type de sites et ne filtrant pas ou ne détectant pas ce type de code
obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.

Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
contient un script de type "BlackHole Exploit Kit" qui exploite les
vulnérabilités de la machine pour exécuter finalement le code
malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
ne fonctionnera que sur les machines vulnérables (n

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Eric Freyssinet 
Bonsoir M. Refuzinkster (...)

Mon message s'adresse aux personnes qui lisent cette liste, pas aux
administrateurs du dimanche, même s'il y en a peut-être dans la liste.

Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni
chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous
exprimer à leur place. En l'occurrence les hébergeurs traitent les
sollicitations de leurs clients et c'est mieux s'ils sont informés.
Par ailleurs, les services abuse des hébergeurs sont les personnes
chargées de traiter ce type d'informations, en tous cas c'est comme
cela que fonctionne Internet jusqu'à aujourd'hui.

J'essaie simplement d'apporter une information. A chacun d'en faire ce
qu'il veut. En l'occurrence des centaines de personnes en France ont
été victimes de ces faits depuis moins d'une quinzaine de jours et
vous n'avez pas ces éléments.

Très cordialement,

Eric Freyssinet

2011/12/22 Refuznikster :
> Bonsoir,
>
> Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des
> administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
> Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant
> d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN,
> clubic, etc...  Bref des sites lus par de possible administrateur du
> dimanche.
>
> Sinon cet injection javascript est assez courante, je l'avais déja noté il y
> a 2 ou 3 ans.
> Celle-ci est corrigé depuis un sacré bout de temps sur les versions récentes
> des blogs et cms les plus connus.
>
> Cordialement,
>
>
>
>
>
> Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet  a
> écrit:
>
>
>> Bonjour,
>>
>> Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
>> lutte contre la cybercriminalité de la gendarmerie nationale à
>> Rosny-sous-Bois.
>> Dans le cadre de nos activités de coordination de l'action de la
>> gendarmerie contre la délinquance sur Internet, nous réalisons une
>> veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
>> autres formes) qui est diffusé actuellement. Nous informons aussi le
>> public des risques associés pour prévenir l'impact de ce phénomène
>> particulier. Pour plus d'informations, vous pouvez visiter mon blog
>> personnel :
>> http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
>>
>> Dans la soirée de mercredi 21 décembre a été porté à notre attention
>> (via le site suivant:
>>
>> http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
>> une variante ou une évolution du mode de diffusion de ces logiciels
>> malveillants.
>>
>> Cette fois-ci il s'agit de modifications de sites Web opérées
>> frauduleusement, vraisemblablement en exploitant des vulnérabilités
>> dans des CMS, Forums et autres de scripts PHP de publication. Après
>> l'attaque, les sites présentent des fichiers javascript
>> supplémentaires ou modifiés qui contiennent de façon obfusquée un code
>> incluant automatiquement du contenu provenant d'un serveur distant.
>>
>> Ce code prend la forme suivante: (voir l'image)
>>
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
>> Je tiens à disposition des versions texte pour ceux qui le souhaitent.
>>
>> Il s'agit d'un encodage assez basique au format hexadécimal qui
>> renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
>> 91.196.216.64 (voir la version décodée ici:
>>
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
>>
>> Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
>> type de sites et ne filtrant pas ou ne détectant pas ce type de code
>> obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
>>
>> Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
>> contient un script de type "BlackHole Exploit Kit" qui exploite les
>> vulnérabilités de la machine pour exécuter finalement le code
>> malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
>> ne fonctionnera que sur les machines vulnérables (non à jour des
>> derniers patchs de système d'exploitation, navigateurs, et ajouts type
>> Java, Flash, Adobe...).
>>
>> Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
>> qui correspondaient notamment des sites à fort traffic dans la liste
>> qui pour l'instant a été identifiée (celle présente sur le blog
>> Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
>> effectivement concernés). Des retours que nous avons des premiers
>> gestionnaires de sites, de très nombreux, voire la totalité des
>> fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
>> On peut donc supposer que l'inclusion de ce code malveillant a été
>> faite de façon automatique, en exploitant des vulnérabilités.
>>
>> J'espère que ces informations vous seront utiles. N'hésitez pas à me
>> contacter en cas de question, soit sur la présente liste, soit sur mes
>> adresses ci-dessous.

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Eric Freyssinet 
Bonsoir,

Excellente question.

Si vous administrez le site pour votre client, évidemment pas de soucis.
S'il est hébergé simplement chez vous, votre seule obligation est la
réaction aux messages à votre adresse "abuse" et évidemment vous ne
pouvez pas accéder aux arborescences éventuellement privées de vos
clients, sauf s'ils vous le demandent expressément.

Si vous souhaitez apporter un plus par rapport à cela:
- Donner des outils, des informations, à vos clients pour leur
permettre de le faire (un forum, un blog, une liste de diffusion avec
des guides pour mener ces détections). C'est certainement la façon la
plus simple d'y arriver. Une variante serait d'offrir un service de
scripts dans un répertoire partagé que les administrateurs eux-mêmes
ont la liberté d'exécuter ;
- Une veille externe par un scan régulier des contenus publiquement
accessibles de vos clients et en fonction de règles mises
régulièrement à jour. Evidemment c'est un service qui peut être
coûteux, pas forcément à la portée de tous.

My 2 cents donc sur le sujet, je suppose que d'autres ont déjà
réfléchi à cette question.

Cordialement,

E.F.

2011/12/22 William Gacquer :
> Bonsoir,
>
> un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, 
> php et js de ses clients pour retrouver la signature d'une vérole telle que 
> le  virus "gendarmerie"?
> sur un serveur mutualisé?
> sur une VM dédiée?
> sur un serveur hébergé?
>
> Quid de l'accord du client?
> Si la signature est présente, quelle est la démarche?
>
> Presque joyeux Noël
> William Gacquer
> France Citévision
>
> Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit :
>
>> Bonjour,
>>
>> Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
>> lutte contre la cybercriminalité de la gendarmerie nationale à
>> Rosny-sous-Bois.
>> Dans le cadre de nos activités de coordination de l'action de la
>> gendarmerie contre la délinquance sur Internet, nous réalisons une
>> veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
>> autres formes) qui est diffusé actuellement. Nous informons aussi le
>> public des risques associés pour prévenir l'impact de ce phénomène
>> particulier. Pour plus d'informations, vous pouvez visiter mon blog
>> personnel : 
>> http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
>>
>> Dans la soirée de mercredi 21 décembre a été porté à notre attention
>> (via le site suivant:
>> http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
>> une variante ou une évolution du mode de diffusion de ces logiciels
>> malveillants.
>>
>> Cette fois-ci il s'agit de modifications de sites Web opérées
>> frauduleusement, vraisemblablement en exploitant des vulnérabilités
>> dans des CMS, Forums et autres de scripts PHP de publication. Après
>> l'attaque, les sites présentent des fichiers javascript
>> supplémentaires ou modifiés qui contiennent de façon obfusquée un code
>> incluant automatiquement du contenu provenant d'un serveur distant.
>>
>> Ce code prend la forme suivante: (voir l'image)
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
>> Je tiens à disposition des versions texte pour ceux qui le souhaitent.
>>
>> Il s'agit d'un encodage assez basique au format hexadécimal qui
>> renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
>> 91.196.216.64 (voir la version décodée ici:
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
>>
>> Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
>> type de sites et ne filtrant pas ou ne détectant pas ce type de code
>> obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
>>
>> Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
>> contient un script de type "BlackHole Exploit Kit" qui exploite les
>> vulnérabilités de la machine pour exécuter finalement le code
>> malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
>> ne fonctionnera que sur les machines vulnérables (non à jour des
>> derniers patchs de système d'exploitation, navigateurs, et ajouts type
>> Java, Flash, Adobe...).
>>
>> Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
>> qui correspondaient notamment des sites à fort traffic dans la liste
>> qui pour l'instant a été identifiée (celle présente sur le blog
>> Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
>> effectivement concernés). Des retours que nous avons des premiers
>> gestionnaires de sites, de très nombreux, voire la totalité des
>> fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
>> On peut donc supposer que l'inclusion de ce code malveillant a été
>> faite de façon automatique, en exploitant des vulnérabilités.
>>
>> J'espère que ces informations vous seront utiles. N'hésitez pas à me
>> contacter en cas de question, soit sur la présente liste, soit sur mes
>> adresses ci-dessous. Merci de me f

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Refuznikster 

Bonsoir,

Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des  
administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant  
d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le  
JdN, clubic, etc...  Bref des sites lus par de possible administrateur du  
dimanche.


Sinon cet injection javascript est assez courante, je l'avais déja noté il  
y a 2 ou 3 ans.
Celle-ci est corrigé depuis un sacré bout de temps sur les versions  
récentes des blogs et cms les plus connus.


Cordialement,





Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet  a  
écrit:



Bonjour,

Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
lutte contre la cybercriminalité de la gendarmerie nationale à
Rosny-sous-Bois.
Dans le cadre de nos activités de coordination de l'action de la
gendarmerie contre la délinquance sur Internet, nous réalisons une
veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
autres formes) qui est diffusé actuellement. Nous informons aussi le
public des risques associés pour prévenir l'impact de ce phénomène
particulier. Pour plus d'informations, vous pouvez visiter mon blog
personnel :  
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/


Dans la soirée de mercredi 21 décembre a été porté à notre attention
(via le site suivant:
http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
une variante ou une évolution du mode de diffusion de ces logiciels
malveillants.

Cette fois-ci il s'agit de modifications de sites Web opérées
frauduleusement, vraisemblablement en exploitant des vulnérabilités
dans des CMS, Forums et autres de scripts PHP de publication. Après
l'attaque, les sites présentent des fichiers javascript
supplémentaires ou modifiés qui contiennent de façon obfusquée un code
incluant automatiquement du contenu provenant d'un serveur distant.

Ce code prend la forme suivante: (voir l'image)
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
Je tiens à disposition des versions texte pour ceux qui le souhaitent.

Il s'agit d'un encodage assez basique au format hexadécimal qui
renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
91.196.216.64 (voir la version décodée ici:
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)

Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
type de sites et ne filtrant pas ou ne détectant pas ce type de code
obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.

Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
contient un script de type "BlackHole Exploit Kit" qui exploite les
vulnérabilités de la machine pour exécuter finalement le code
malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
ne fonctionnera que sur les machines vulnérables (non à jour des
derniers patchs de système d'exploitation, navigateurs, et ajouts type
Java, Flash, Adobe...).

Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
qui correspondaient notamment des sites à fort traffic dans la liste
qui pour l'instant a été identifiée (celle présente sur le blog
Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
effectivement concernés). Des retours que nous avons des premiers
gestionnaires de sites, de très nombreux, voire la totalité des
fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
On peut donc supposer que l'inclusion de ce code malveillant a été
faite de façon automatique, en exploitant des vulnérabilités.

J'espère que ces informations vous seront utiles. N'hésitez pas à me
contacter en cas de question, soit sur la présente liste, soit sur mes
adresses ci-dessous. Merci de me faire tous retours sur des
désinfections de sites réussies.

Cordialement,




--
---
Refuznik


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet William Gacquer 
Bonsoir,

un hébergeur a-t'il le droit de faire un grep dans tous les fichiers html, php 
et js de ses clients pour retrouver la signature d'une vérole telle que le  
virus "gendarmerie"?
sur un serveur mutualisé?
sur une VM dédiée?
sur un serveur hébergé?

Quid de l'accord du client?
Si la signature est présente, quelle est la démarche? 

Presque joyeux Noël
William Gacquer
France Citévision

Le 22 déc. 2011 à 18:57, Eric Freyssinet a écrit :

> Bonjour,
> 
> Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
> lutte contre la cybercriminalité de la gendarmerie nationale à
> Rosny-sous-Bois.
> Dans le cadre de nos activités de coordination de l'action de la
> gendarmerie contre la délinquance sur Internet, nous réalisons une
> veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
> autres formes) qui est diffusé actuellement. Nous informons aussi le
> public des risques associés pour prévenir l'impact de ce phénomène
> particulier. Pour plus d'informations, vous pouvez visiter mon blog
> personnel : 
> http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
> 
> Dans la soirée de mercredi 21 décembre a été porté à notre attention
> (via le site suivant:
> http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
> une variante ou une évolution du mode de diffusion de ces logiciels
> malveillants.
> 
> Cette fois-ci il s'agit de modifications de sites Web opérées
> frauduleusement, vraisemblablement en exploitant des vulnérabilités
> dans des CMS, Forums et autres de scripts PHP de publication. Après
> l'attaque, les sites présentent des fichiers javascript
> supplémentaires ou modifiés qui contiennent de façon obfusquée un code
> incluant automatiquement du contenu provenant d'un serveur distant.
> 
> Ce code prend la forme suivante: (voir l'image)
> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
> Je tiens à disposition des versions texte pour ceux qui le souhaitent.
> 
> Il s'agit d'un encodage assez basique au format hexadécimal qui
> renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
> 91.196.216.64 (voir la version décodée ici:
> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
> 
> Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
> type de sites et ne filtrant pas ou ne détectant pas ce type de code
> obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
> 
> Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
> contient un script de type "BlackHole Exploit Kit" qui exploite les
> vulnérabilités de la machine pour exécuter finalement le code
> malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
> ne fonctionnera que sur les machines vulnérables (non à jour des
> derniers patchs de système d'exploitation, navigateurs, et ajouts type
> Java, Flash, Adobe...).
> 
> Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
> qui correspondaient notamment des sites à fort traffic dans la liste
> qui pour l'instant a été identifiée (celle présente sur le blog
> Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
> effectivement concernés). Des retours que nous avons des premiers
> gestionnaires de sites, de très nombreux, voire la totalité des
> fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
> On peut donc supposer que l'inclusion de ce code malveillant a été
> faite de façon automatique, en exploitant des vulnérabilités.
> 
> J'espère que ces informations vous seront utiles. N'hésitez pas à me
> contacter en cas de question, soit sur la présente liste, soit sur mes
> adresses ci-dessous. Merci de me faire tous retours sur des
> désinfections de sites réussies.
> 
> Cordialement,
> 
> -- 
> Eric Freyssinet
> perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208
> pro: eric.freyssi...@gendarmerie.interieur.gouv.fr
> blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Diffusion du virus "gendarmerie" par javascripts modifiés

2011-12-22 Par sujet Eric Freyssinet 
Bonjour,

Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
lutte contre la cybercriminalité de la gendarmerie nationale à
Rosny-sous-Bois.
Dans le cadre de nos activités de coordination de l'action de la
gendarmerie contre la délinquance sur Internet, nous réalisons une
veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
autres formes) qui est diffusé actuellement. Nous informons aussi le
public des risques associés pour prévenir l'impact de ce phénomène
particulier. Pour plus d'informations, vous pouvez visiter mon blog
personnel : 
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/

Dans la soirée de mercredi 21 décembre a été porté à notre attention
(via le site suivant:
http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
une variante ou une évolution du mode de diffusion de ces logiciels
malveillants.

Cette fois-ci il s'agit de modifications de sites Web opérées
frauduleusement, vraisemblablement en exploitant des vulnérabilités
dans des CMS, Forums et autres de scripts PHP de publication. Après
l'attaque, les sites présentent des fichiers javascript
supplémentaires ou modifiés qui contiennent de façon obfusquée un code
incluant automatiquement du contenu provenant d'un serveur distant.

Ce code prend la forme suivante: (voir l'image)
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
Je tiens à disposition des versions texte pour ceux qui le souhaitent.

Il s'agit d'un encodage assez basique au format hexadécimal qui
renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
91.196.216.64 (voir la version décodée ici:
http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)

Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
type de sites et ne filtrant pas ou ne détectant pas ce type de code
obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.

Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
contient un script de type "BlackHole Exploit Kit" qui exploite les
vulnérabilités de la machine pour exécuter finalement le code
malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
ne fonctionnera que sur les machines vulnérables (non à jour des
derniers patchs de système d'exploitation, navigateurs, et ajouts type
Java, Flash, Adobe...).

Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
qui correspondaient notamment des sites à fort traffic dans la liste
qui pour l'instant a été identifiée (celle présente sur le blog
Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
effectivement concernés). Des retours que nous avons des premiers
gestionnaires de sites, de très nombreux, voire la totalité des
fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
On peut donc supposer que l'inclusion de ce code malveillant a été
faite de façon automatique, en exploitant des vulnérabilités.

J'espère que ces informations vous seront utiles. N'hésitez pas à me
contacter en cas de question, soit sur la présente liste, soit sur mes
adresses ci-dessous. Merci de me faire tous retours sur des
désinfections de sites réussies.

Cordialement,

-- 
Eric Freyssinet
perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208
pro: eric.freyssi...@gendarmerie.interieur.gouv.fr
blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss


---
Liste de diffusion du FRnOG
http://www.frnog.org/