Sur internet, il y a un peu de tout et il y a aussi beaucoup de choses bien débiles. Dans la série des trucs débiles, on trouve des crétins qui s’amusent à envoyer des logiciels malveillants, ces derniers visent à planter les ordinateurs. Bien entendu, tout cela est filmé pour […]

Cet article présente quelques services internet gratuit qui permettent de vérifier si un site WEB a été piraté ou hacké. Si vous possédez un site internet et que vous avez un doute, vous pouvez vérifier que le site a été piraté. Ces services sont aussi utiles si vous avez un […]

Pourquoi les sites internet sont piratés ? Comment les sites WEB sont piratés ? Des groupes peuvent s’attaquer à vos sites WEB pour modifier le contenu, les motivations pouvant être diverses. Voici un dossier complet sur le piratage de site WEB : pourquoi, comment et la prévention.

Les piratages massifs de compte internet sont de plus en plus fréquents. Les piratages de compte comme Facebook, Youtube, Paypal, Gmail, Compte Microsoft, Steam ou Twitter sont devenus très courants. Ces derniers contiennent des informations personnelles et permettent de contacter ses amis, ce qui peut être utilisé pour distribuer des logiciels malveillants ou […]

Le défacement ou défaçage de site (ou encore defacing en anglais) de site internet est une forme d’attaque qui vise à remplacer la page principale ou toutes les pages par une page WEB spécifique. Voici quelques explications sur ce type d’attaques WEB.

Dernièrement Yahoo! nous a informé qu’en 2014, sa base de données utilisateurs a été volée. Les piratages ou hack massif de données utilisateurs sont de plus en plus fréquentes avec souvent à la clé des millions de comptes utilisateurs volés. Pourquoi ces piratages ? comment s’en protéger. Cette page vous explique […]

Tombé aujourd’hui sur une campagne d’extension malicieuse visant WordPress. Je n’ai pas fait de capture d’écran du panneau des extensions, mais celle-ci se nomme « Docs » et à pour origine wordpress.com Ici le but est de faire croire que l’extension est légitime et appartient à WordPress. Celle-ci se présente comme cela […]

il y a quelques jours, on m’a demandé de l’aide pour un site WEB WordPress piraté sur un OVH Mutualisé. Pas mal de campagnes malicieuses ces derniers temps assez actives suite à des publications de vulnérabilités touchant WordPress : Campagne de piratage WordPress : fausse mise à jour Flash VisitorTracking […]

filestore321.com et filestore72.info sont des adresses utilisées dans des campagnes pour pirater des forums (notamment de type IPB) afin de rediriger les internautes vers des publicités et gagner de l’argent. Ces publicités ne sont pas malicieuses (bien que parfois, certains programmes pas vraiment utiles sont proposés). Les adresses filestore peuvent […]

A l’heure où une vulnérabilité sur une extension de WordPress peut mettre en péril 1 millions de sites WEB. Voici un exemple de piratage d’un site sous WordPress afin de comprendre un peu comment cela peut se passer. Dans notre un exemple, un WordPress sur une machine virtuelle sur l’adresse 192.168.1.4 […]

I notice an icrease of the « generics attacks » on my website for the last days : https://www.malekal.com/modsec/ (blue line on the first graph). A check show that some RFI attacks icreases. few days ago : https://www.malekal.com/modsec/index.php?ip=1.224.163.80 https://www.malekal.com/modsec/index.php?ip=71.6.150.241 Last attacks : https://www.malekal.com/modsec/index.php?ip=46.252.18.54 https://www.malekal.com/modsec/index.php?ip=95.168.199.227 All the attacks against my websites (42 distinct […]

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention : Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6 Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime. Un […]

Voici un petit billet concernant une infection trouvée sur des serveurs que j’administre depuis peu. Tout commence par une alerte par mail de Munin fraîchement mis en place. Munin est un grapher rddtools qui envoie des alertes lorsque des seuils sont dépassés, en l’occurrence ici, c’était la CPU. Ce qui est […]

Il y a quelques instants, l’accès au serveur a été coupé automatiquement par OVH pour raison de Hack – ticket Hack. A la connexion au manager, j’obtiens le message suivant : OVH semble faire appel au service suivant pour évaluer les sites WEB : http://c-sirt.org Je regarde les incidents et […]

Mass Hack des sites en WordPress qui ont une version vulnérable : WordPress 3.2.1. Le hack conduit à une modification des pages pour conduire les visiteurs vers des exploits sur site WEB. Exemple ici d’une page d’index avec du code malicieux ajouté à la fin : Ici un Exploit Java […]

On continue avec le TDS et la campagne du Virus Gendarmerie en France. Comme vous pouvez le constater ci-dessous, les redirections sont toujours aussi énormes. Alors que la malvertising de clicksor.com est toujours active, les redirections via ZeroAccess ont un peu baissé. On constate que l’adresse des malvertising reste en tête (sp-adhitcounter.com). On peux […]

Metasploit est un framework qui permet d’effectuer des tests de pénétration (pentest). Metaploist existe en version gratuite et une version pro avec des fonctionnalités avancées. Metasploit permet le scan du réseau à la recherche de vulnérabilité (version payante), bruteforce etc comme Nessus par exemple. mais aussi de simuler des infections […]

Suite à ces deux billets Backdoor:Win32/Fynloski.A sur Orange via no-ip.org et  Stealer par crack (suite) – une question revient assez souvent, comment se fait-il qu’il est possible de récupérer, aussi facilement, les mots de passe stockés dans les navigateurs ? Tous les navigateurs WEB : Firefox, Google Chrome, Internet Explorer ou Edge sont concernés […]

Suite du billet Stealer pour les nuls : exemple de vol de mot de passe suite à la découverte d’un Stealer un peu original. Toujours le même vecteur des cracks sur des forums/sites de téléchargement. A noter aussi une grosse tendance, des stealers .Net qui envoie les mots de passe volés […]

Un billet concernant les stealers. Le but de ce billet est de vous montrer comment, il est « facile » de voler des informations sur un PC. Ceci est pas forcément facile à illustrer, néanmoins sur les billets RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls ou Spyeye C&C et Business underground, vous aviez […]

Aujourd’hui en ouvrant mon Zoo à Malwares – Les petits animaux avaient faim et se sont mis à télécharger leurs pitances quotidiennes. La commande lancée dans le cadre rouge a attiré mon attention puisque ce sont des commandes Linux qui ont d’ailleurs été lancées sur une machine Windows. Revenons au […]

Après Netcourrier, le forum lagarde et FranceHardware, un autre cas de hack pour ajouter un javascript malicieux conduisant à un exploit sur site WEB. Vu sur le forum : https://forum.malekal.com/rogue-system-restore-t34661.html#p268221 Le site MacBidouille a un rank de 10 / 15k sur Alexa : Sur le site rien de spécial… par contre, une […]

Le principe est loin d’être nouveau puisqu’une en 2007 ce procédé existait déjà – son apogée a eu lieu en 208/2009 :  MSN Check Blocker : Spam via compte MSN   Il semblerait qu’on assiste à une petite recrudescence de ce procédé et notamment vers l’adresse http://check.messengo.info (46.21.207.125 – EURO-WEB – fr) […]

Un billet sur le SPAM utilisant le service pastebin (service qui permet de copier/coller des documents pour les transmettre à ses correspondants, en général, du code). Dans notre exemple, le SPAM  donne des liens de programme qui permettent d’hacker des comptes Facebook. Bref, une personne qui veux se la jouer […]

Une page qui concerne la sécurité sur Worpress. Cette vous donne quelques recettes à suivre afin de sécuriser ou rendre votre WordPress plus difficile à hacker.

Timthumb est une librairie utilisée par divers extensions ou thèmes sur WordPress. Une liste est présente sur cette page : http://blog.sucuri.net/2011/08/attacks-against-timthumb-php-in-the-wild-list-of-themes-and-plugins-being-scanned.html Début Août une vulnérabilité 0-day a été publiée, celle-ci était exploitée afin de compromettre des sites WEB sur WordPress. La librairie étant très utilisée, des milliers (millions?) de sites […]

Un pack Trojan.Karagny par exploits sur site WEB peux dropper actuellement un pack Sip Hacker. Le malware contacte les URL suivantes : 1314008822.953     81 192.168.1.27 TCP_MISS/200 304 GET http://vivahot.cz.cc/ipcheck.php?action=getip – DIRECT/188.72.216.155 text/html 1314008838.371  15416 192.168.1.27 TCP_MISS/200 16003458 GET http://vivahot.cz.cc/python27.msi – DIRECT/188.72.216.155 application/x-msdownload 1314009021.630    326 192.168.1.27 TCP_MISS/200 246655 GET http://vivahot.cz.cc/UnRAR.exe – […]

Trojan.Win32.Jorik.Skor (le nom est de Kaspersky et est relativement récent) est un malware qui sévit depuis quelques années – voir :  msa.exe b.exe et sshnas.dll : Trojan.Renos/Trojan.FakeAlert Dernièrement l’infection plantait en autre les widgets de Windows Vista/Seven, voir la page : sshnas.dll et erreur Activex / widgets Cette infection se […]