[nutsdz]

Bonjour,
Milles excuses si je ne post pas au bon endroit, mais ma question est un peu "hors contexte" de toute façon.
Une copine m'a demandé mon avis pour le problème suivant.
Ses parents ont un site web, et un de leur client leur a dit que le site envoyait des virus !!
Je suis allé faire un tour sur la page, et effectivement avast rouspète au sujet de je ne sais plus quel trojan/spyware. L'adresse du site en question : http://www.grottes-morgat.com
Il me semble que la page est redirigée vers : http://liveantivirusprotectionscan.com/2009/1/freescan.php?nu=880865, mais c'est tout ce que j'ai pu obtenir comme infos (je ne suis pas au point question hacking).
Mais ce qui me paraît bizzare, c'est que l'alerte d'avast n'apparaît pas tout le temps !! Parfois le site s'affiche, et d'autres fois j'ai la page liveantivirus... !!! J'ai essayé sur plusieurs ordi (dont un sous ubuntu) et c'est la même chose.
En cherchant sur internet, j'ai vu qu'un des causes possibles de cette redirection (je ne sais pas si c'est le terme correct ?) était qu'on soit DEJA infecté par un spyware. Mais du coup je ne comprends pas pourquoi ça le fait sous ubuntu, ni pourquoi ce n'est pas systématique.
Dans mon idée, j'imagine aussi que le site a pu être piraté et la page modifiée, mais je n'ai pas accès à la gestion du site, donc je ne sais pas comment vérifier cela.
Je soupçonne certains d'entre vous d'être des hackers de hauts-vols  , et donc je me tourne vers vous pour avoir votre opinion : qu'est ce qui se passe exactement, et quelles mesures doivent prendre ses parents pour arrêter tout ceci ??
Merci d'avance du temps que vous prendrez à jeter un oeil à ce soucis.
Et bons challenges
---
Nuts

[mogg41]

Bonjour nutsdz.

La navigation est normale depuis mon pc.

A priori le site ne contient que quelques pages HTML basiques. Je ne suis pas spécialiste mais apparemment il n'y a pas de failles.

Les redirections sont sûrement liés à autre chose, probablement à une infection précédente comme tu le soulignes.

Pourquoi l'ordinateur sous Ubuntu ne pourrait pas être infecté?? http://www.commentcamarche.net/faq/sujet-5865-mythe-linux-est-invulnerable-face-aux-virus (Non, ce n'est pas un troll!!)

Laissons la parole aux experts.

Mogg

[_o_]

L'adresse du site en question : http://www.grottes-morgat.com

Juste un mot là-dessus. J'espère qu'ils n'ont pas payé pour ce genre de "site" internet. Parce que scanner des dépliants et mettre le tout en ligne, ça ne coûte pas plus de 15 euros. Et encore, la loupe débile et d'une ergonomie catastrophique devrait faire baisser la facture. De mon point de vue, c'est ce que l'on appelle du Web 0.1. </coup de gueule ergonomique>

Je me suis baladé là-dessus, et je n'ai pas non plus trouvé trace d'une quelconque redirection, mais ça ne veut rien dire. Si le serveur est compromis, il peut s'amuser à n'envoyer la redirection que de temps en temps, histoire de gagner en furtivité. Cela dit, en règle générale, les pages piratées pour ajouter des malwares sont faites assez grossièrement. La dernière fois que j'en ai vu une, c'était un bout de javascript ajouté en bas de page d'accueil après 2000 lignes vides.

La seule façon de déterminer s'il s'agit d'une compromission du serveur, c'est d'avoir la main dessus. De ce côté là, c'est réglé, personne ne peut le faire en dehors des propriétaires. C'est pire s'il s'agit d'un mutualisé et que c'est l'appli du client d'à côté qui est foireuse. L'architecture réseau peut aussi être en cause : un proxy transparent chez l'hébergeur qui déconne et ne sert pas les bonne page (ça s'est vu à une époque chez AOL, qui mélangeait les images avant de les envoyer au client. Quand on sait que 80% du trafic est porno, ça vous donne une idée de la tête que la grand-mère a tiré en visualisant le site perso de son petit-fils).

Enfin, tout ça c'est un peu gros. Mais puisque cela t'arrive à toi, je te conseille de réessayer avec un sniffer (wireshark, au hasard), histoire de voir ce qui a pu se passer après coup.

[the lsd]

<modo>
J'ai déplacé le topic en divers / hacking
</modo>

[nutsdz]

Bien, merci de vos réponses. J'ajouterai qu'aujourd'hui, je n'ai aucun problème avec la page 
J'ai scanné les ordi sous windows avec Spybot qui a trouvé 3-4 cochonneries mais rien de bien méchant. Quant à mon pc avec ubuntu, ben je n'y ai rien fait, alors je ne comprends pas pourquoi la page "spyware" ne s'affiche pas aujourd'hui 
Ah, je viens de cliquer sur le lien redirigé, et j'arrive sur une page bloquée (par firefox ?? ou google ??). Décidément, c'est un peu trop compliqué pour moi !!!
Concrètement, je leur dit quoi aux parents de ma copine ? J'ai bien essayé de lui dire de se diriger vers leur hébergeur, mais vu leur tête, je ne pense pas qu'il sache de quoi il s'agit 
Pour _o_ : Oui je sais, le site est très moche... Je leur glisserai un petit mot à ce sujet. Pour ce qui est du sniffer, j'avoue que je n'en n'ai jamais utilisé !! C'est quoi, ça fait quoi, ça fonctionne comment, et comment on s'en sert ? Je sais, je vais aller voir sur google...
Encore merci de vos avis
A plus tard,
---
Nuts

[mogg41]

L'utilisation d'un sniffeur n'est pas très compliqué mais la compréhension de ce qu'il capture l'est un poil plus.

Pour faire simple, le sniffeur te montrera tout ce que tu envoies comme données sur internet et tout ce que l'on t'envoie.

Cela permet de remarquer des échanges non voulus et d'en comprendre la raison.

Mais je pense que des notions réseaux un peu plus avancées que celles que tu possèdes soient nécessaires.

Si tu es sous Windows tu peux utiliser Wireshark (Ethereal?) comme l'a suggéré _o_.

HS: Attention on devient vite accroc à vouloir sniffer tout ce qui bouge...

Mogg

[Deejays]

HS: Attention on devient vite accroc à vouloir sniffer tout ce qui bouge...

Joli jeux de mot si il est volontaire !

Il m'arrive aussi parfois qu' Avast se déclenche quand je vais sur des sites de téléchargement. Je ne sais pas si c'est à cause du contenu du site ou autre à dire vrai ^^'. Peut-être aussi il peut s'agir d'un spywar que Spybot ne pourrait pas détecter (je ne sais pas si c'est possible)...

[mogg41]

Tout dépend du site de téléchargement. Si c'est du warez cela peut se comprendre.

Pour le jeux de mot c'était volontaire et dans ce domaine mon idole c'est Comm².

[_o_]

Ah, je viens de cliquer sur le lien redirigé, et j'arrive sur une page bloquée (par firefox ?? ou google ??).

Oui, depuis quelques mois, les éditeurs de navigateurs intègrent des fonctionnalités d'interrogation de base de données listant les sites malveillants connus (phishing, tentative d'infection par malware, vers ou virus, etc...) de façon à fournir des avertissements à madame Michu quand elle navigue dans ce monde dangereux.

Mon Firefox bloquait déjà le site en question hier quand tu as ouvert la discussion.

[nutsdz]

Bonjour,

C'est vrai que j'ai un peu traîné à vous soumettre le cas. J'ai eu l'info mercredi dernier (7 janvier) et j'ai regardé tout ça vendredi (et là je vous promets que firefox ne bloquait rien du tout !!!). Mais hier oui, j'avais l'avertissement (enfin avec firefox 3, pas le 2).

Et donc pour en revenir à ma question : qu'est ce qui s'est passé ? C'est plus le pc client qui a visité la page qui était infecté, il n'y a rien du côté serveur (hébergeur) ?

Pour ce qui est du sniffer (c'est malin de m'avoir orienté sur ça, je vais devoir m'y intéresser maintenant  ), j'ai bien entendu déjà installé et lancé ethereal, mais comme l'a fait remarquer judicieusement Mogg, le plus compliqué est d'interprêter ce qu'on voit 
Dans mon cas précis, je ne vois même pas ce que je dois "sniffer" !! Mon réseau pendant que je navigue sur la page en question je suppose ??

Bon je verrai ça quand j'aurai un peu plus de temps, et que j'aurai terminé ces satanés challenges  (c'est à dire jamais ).

Bonne journée,

---
Nuts

[_o_]

Et donc pour en revenir à ma question : qu'est ce qui s'est passé ? C'est plus le pc client qui a visité la page qui était infecté, il n'y a rien du côté serveur (hébergeur) ?

Comme déjà signalé, les boules de cristal sont en panne. Toi seul a vu la redirection à l'œuvre, et donc pourrait investiguer. Le propriétaire du site, qui a la main sur le serveur, aussi. S'il craint vraiment de s'être fait rooter son site, il n'a qu'à razer le compte et tout remonter à partir de ses sauvegardes (ahah !).

Dans mon cas précis, je ne vois même pas ce que je dois "sniffer" !! Mon réseau pendant que je navigue sur la page en question je suppose ??

L'idée est simple : tu lances un sniffer en lui disant de surveiller ce qui passe par le port 80 (oui, pas besoin de récupérer tout le reste). Puis tu bricoles un peu sur le site en question, et si la redirection apparaît, tu dépiautes les traces du sniffer pour déterminer si la redirection vient bien du site (sous wireshark, y'a une fonction "follow TCP stream" pour reconstruire tout le dialogue lisible dans le cas d'un protocole texte comme HTTP). Si ce n'est pas le cas... hé ben il faudra aviser.

<hors_sujet>
Entre nous, et entre parenthèses, ce qui me gêne beaucoup dans cette affaire, c'est qu'on a potentiellement une machine vérolée (rien n'est prouvé, mais c'est une hypothèse) où l'on se rend compte que :
- l'hébergeur semble ne pas être au courant.
- le propriétaire ne comprend pas grand chose.
- c'est le copain de sa fille qui est chargé de s'y coller, et visiblement il galère un peu.
- le copain en question balance le tout en public sur un forum où on peut lui répondre tout et n'importe quoi (ben oui, quelle garantie as-tu qu'il y a des gens compétents ici ? Et en supposant qu'ils le sont, penses-tu qu'ils sont capables de répondre aux devinettes ?).
Et pendant ce temps, le serveur, s'il est vérolé, continue tranquillement son petit bonhomme de chemin. Si c'est confirmé, la machine finira par faire un beau zombie totalement oubliée de tous, sauf de ses victimes.
Bref, je vais être sectaire, mais l'informatique (et le sous-domaine de la sécu), c'est un métier. Avoir un site web, beau, fonctionnel, à jour, etc, ça demande du travail et de la maintenance (mise à jour, vérification de l'intégrité, sauvegardes...). Bref, ça se paie. Et je trouve que les gens l'oublie un peu trop souvent.

Dernière couche : le mieux à faire est de prévenir l'hébergeur : lui saura quoi faire et en plus il est payé pour.