Bonsoir M. Refuzinkster (...)

Mon message s'adresse aux personnes qui lisent cette liste, pas aux
administrateurs du dimanche, même s'il y en a peut-être dans la liste.

Comme vous ne dites pas qui vous êtes, je suppose que vous n'êtes ni
chez OVH, 1and1 ou Online, je ne pense pas que vous puissiez donc vous
exprimer à leur place. En l'occurrence les hébergeurs traitent les
sollicitations de leurs clients et c'est mieux s'ils sont informés.
Par ailleurs, les services abuse des hébergeurs sont les personnes
chargées de traiter ce type d'informations, en tous cas c'est comme
cela que fonctionne Internet jusqu'à aujourd'hui.

J'essaie simplement d'apporter une information. A chacun d'en faire ce
qu'il veut. En l'occurrence des centaines de personnes en France ont
été victimes de ces faits depuis moins d'une quinzaine de jours et
vous n'avez pas ces éléments.

Très cordialement,

Eric Freyssinet

2011/12/22 Refuznikster <refuzniks...@gmail.com>:
> Bonsoir,
>
> Je suis désolé mais je crois que c'est le mauvais endroit pour avertir des
> administrateurs de site tout comme votre démarche chez ovh, 1&1, etc...
> Pour une vieille d'alerte je vous conseillerais plutôt des sites traitant
> d'informatique pouvant relayer votre alerte, dans le désordre zdnet, le JdN,
> clubic, etc...  Bref des sites lus par de possible administrateur du
> dimanche.
>
> Sinon cet injection javascript est assez courante, je l'avais déja noté il y
> a 2 ou 3 ans.
> Celle-ci est corrigé depuis un sacré bout de temps sur les versions récentes
> des blogs et cms les plus connus.
>
> Cordialement,
>
>
>
>
>
> Le Thu, 22 Dec 2011 18:57:11 +0100, Eric Freyssinet <e...@frsnet.com> a
> écrit:
>
>
>> Bonjour,
>>
>> Je suis le lieutenant-colonel Eric FREYSSINET, chef de la Division de
>> lutte contre la cybercriminalité de la gendarmerie nationale à
>> Rosny-sous-Bois.
>> Dans le cadre de nos activités de coordination de l'action de la
>> gendarmerie contre la délinquance sur Internet, nous réalisons une
>> veille attentive autour du virus de rançonnement "Gendarmerie" (et ses
>> autres formes) qui est diffusé actuellement. Nous informons aussi le
>> public des risques associés pour prévenir l'impact de ce phénomène
>> particulier. Pour plus d'informations, vous pouvez visiter mon blog
>> personnel :
>> http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
>>
>> Dans la soirée de mercredi 21 décembre a été porté à notre attention
>> (via le site suivant:
>>
>> http://www.malekal.com/2011/12/21/91-196-216-64-hacks-de-site-fr-pour-le-virus-gendarmerie/)
>> une variante ou une évolution du mode de diffusion de ces logiciels
>> malveillants.
>>
>> Cette fois-ci il s'agit de modifications de sites Web opérées
>> frauduleusement, vraisemblablement en exploitant des vulnérabilités
>> dans des CMS, Forums et autres de scripts PHP de publication. Après
>> l'attaque, les sites présentent des fichiers javascript
>> supplémentaires ou modifiés qui contiennent de façon obfusquée un code
>> incluant automatiquement du contenu provenant d'un serveur distant.
>>
>> Ce code prend la forme suivante: (voir l'image)
>>
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillant.png
>> Je tiens à disposition des versions texte pour ceux qui le souhaitent.
>>
>> Il s'agit d'un encodage assez basique au format hexadécimal qui
>> renvoie vers un lien sur un serveur situé en Russie à l'adresse IP
>> 91.196.216.64 (voir la version décodée ici:
>>
>> http://crimenumerique.files.wordpress.com/2011/12/exemplecodemalveillantdecode.png)
>>
>> Jusqu'à cette étape, toutes les machines de personnes qui visitent ce
>> type de sites et ne filtrant pas ou ne détectant pas ce type de code
>> obfusqué vont se connecter à leur insu sur le serveur 91.196.216.64.
>>
>> Le code contenu sur le serveur à l'adresse IP évoquée ci-dessus
>> contient un script de type "BlackHole Exploit Kit" qui exploite les
>> vulnérabilités de la machine pour exécuter finalement le code
>> malveillant (ici le virus de rançonnement "gendarmerie"). Cette étape
>> ne fonctionnera que sur les machines vulnérables (non à jour des
>> derniers patchs de système d'exploitation, navigateurs, et ajouts type
>> Java, Flash, Adobe...).
>>
>> Nous avons déjà prévenu les hébergeurs suivants: OVH, Online, 1and1,
>> qui correspondaient notamment des sites à fort traffic dans la liste
>> qui pour l'instant a été identifiée (celle présente sur le blog
>> Malekal dont j'ai pu vérifier pour presque tous qu'ils étaient
>> effectivement concernés). Des retours que nous avons des premiers
>> gestionnaires de sites, de très nombreux, voire la totalité des
>> fichiers javascript sont infectés lorsqu'il y a eu une telle attaque.
>> On peut donc supposer que l'inclusion de ce code malveillant a été
>> faite de façon automatique, en exploitant des vulnérabilités.
>>
>> J'espère que ces informations vous seront utiles. N'hésitez pas à me
>> contacter en cas de question, soit sur la présente liste, soit sur mes
>> adresses ci-dessous. Merci de me faire tous retours sur des
>> désinfections de sites réussies.
>>
>> Cordialement,
>>
>
>
> --
> -----------------------
> Refuznik
>
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Eric Freyssinet
perso: eric.freyssi...@m4x.org - GPG/PGP: 0x6DD16208
pro: eric.freyssi...@gendarmerie.interieur.gouv.fr
blog: http://blog.crimenumerique.fr/ twitter: @ericfreyss


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à