« Marche arrière toute…
Modification sur la messagerie mutualisée. »

Antivirus sur les fichiers webs.

Nous avons mis en place un antivirus sur les fichiers webs de vos sites, ce dernier analyse après la sauvegarde le contenu de votre site il y a quelques semaines, un email est généré si des fichiers frauduleux sont détectés.

Le système fonctionne dans l’ensemble assez bien mais a butté cette nuit sur au moins deux CMS (Joomla et Wordpress), pour lesquels certains fichiers Javascripts ont été identifiés comme hackés alors que de toute évidence tel n’est pas le cas.

Nous travaillons sur le sujet, si vous avez reçu un mail cette nuit n’en tenez pas compte, merci ;)

Le virus détecté est Trojan.JS.Downloader-1.

Edit : Dotclear est également concerné.

Edit du 24/05/2008 : Le problème est corrigé, nous avons placé des filtres sur l’analyse des fichiers.

Cet article a été publié le Mercredi 21 mai 2008 à 13:06 et est classé dans Divers. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.

16 commentaires pour “Antivirus sur les fichiers webs.”

  1. Franck dit :
    21 mai 2008 à 14:06

    Nous avons le même souci sur plusieurs de nos domaines, également sur des fichiers javascript qui ne sont pourtant pas infectés.

    Du coup, nous ne savons pas trop quoi faire.

    >> Surtout ne faites rien :) La vague de mails envoyés cette nuit correspond à  un bug, la détection des fichiers hackés est suspendue pour l’instant.

  2. Elles auto dit :
    21 mai 2008 à 15:16

    Ben, on a supprimé le fichier pour rien alors. -.-|||

  3. Didier dit :
    21 mai 2008 à 15:27

    Le CMS Xoops également

  4. Philippe dit :
    21 mai 2008 à 18:01

    Trop tard j’ai viré mon site !!!!!!!!!!!
    Arffff !!! C’est vrai en plus.
    Bon c’est pas grave mais c’était un vieux site (de campagne municipale pour tout vous avouer…) alors dans le doute j’ai tout supprimé…

    Mais c’est quand même super dangereux ce genre de mail !

    Bon courage !

    >> Jusqu’à  cette nuit ça fonctionnait bien, le rêve :)

  5. Philippe dit :
    21 mai 2008 à 18:03

    Pardon pour info c’était un dotclear, si ça peut vous aider à  résoudre le problème.

    >> En fait les js des cms sont concernés.

  6. harcher81 dit :
    21 mai 2008 à 18:38

    Bonne idée, vous devriez peut-être l’afficher dans la page des offres.

    >> Nous le ferons, par contre il faut tout d’abord que nous identifions la source du problème. Imaginons qu’elle ne puisse pas être corrigée, nous devrions arrêter le scan.

  7. Claudine dit :
    21 mai 2008 à 20:24

    Ah, je suis rassurée. J’ai reçu un de ces mails et j’ai passé 2h à  essayer tous les antivirus en ligne possibles et imaginables. Et je trouvais rien !!
    Il m’a bien fait flipper votre mail !
    Du coup, j’ai remplacé mon fichier.

    >> Désolé, on ne le fera plus ;)

  8. ReLiK dit :
    22 mai 2008 à 15:26

    Idem pour ces deux CMS : Nuked-Klan, PHP Tournois
    et aussi pour Pyschostats… c’est Bitdefender votre antivirus par hasard ? ca ma deja fait des fakes sur certaine signature de virus …

    >> Clamav…

  9. ifik dit :
    22 mai 2008 à 22:40

    Détecté aussi chez moi pour ces deux mambo Joomla : JoomlaComment 3.2 et Easy eXtended Gallery 1.5.0.3. Comme ils sont tous 2 bien populaires et libres de droit, cela aurait été étonnant qu’un cheval de Troie s’y cache…mais bon, j’en suis quitte pour une bonne frayeur.
    En tout cas, rien vu avec AVG anti spyware 7.5 et McAfee entreprise 8.

  10. toTOW dit :
    23 mai 2008 à 13:51

    Même problème pour moi avec deux JS de Puntal (le portail de PunBB) …

  11. Lbn dit :
    26 mai 2008 à 14:17

    Bravo en tout cas à  l’équipe technique pour son suivi et sa rapidité de traitements.

  12. olive dit :
    31 mai 2008 à 19:44

    après avoir reçu une première alerte virus il y a une semaine pour le fichier :
    tiny_mce_utils.js: - Trojan.JS.Downloader-1

    j’ai eu la mauvaise surprise d’en recevoir une autre ce matin pour 2 joomlas :

    Notre système de surveillance a détecté la présence de virus sur votre compte. Vous trouverez la liste des fichiers infectés ci-dessous

    /components/com_joomlaxplorer/scripts/codepress/codepress.js: - Worm.JS.Monkeypost

    est ce que l’on doit tenir compte de ce mail ?

    >> Hum, en cours d’analyse.

  13. goum dit :
    2 juin 2008 à 17:02

    Bonjour,
    Idem olive, sur du joomla 1.5.3 et composant mis à  jour.
    Merci.

  14. olive dit :
    6 juin 2008 à 13:32

    après analyse qu’en pensez-vous ?

    >> Après vérification des signatures de clamav, le dernier JS détecté fait bien parti de la signature virale.

  15. Martin dit :
    10 juin 2008 à 14:46

    Une prise de contact, par e-mail, avec les personnes ayant eu le message demandant de supprimer les fichiers aurait été appréciée. Wordpress est supprimé et doit maintenant être uploadé de nouveau.

    >> Contacter chaque client un par un n’était pas envisageable, d’o๠une communication “de masse” par le blog et au cas par cas via le support.

  16. jean dit :
    9 juillet 2008 à 20:04

    Bonsoir,
    Lu ce jour,
    Un méga-patch pour combler une énorme faille d’Internet
    Une demi-douzaine d’éditeurs et de constructeurs ont publié des correctifs pour contrer des vulnérabilités critiques du protocole DNS. La majorité des systèmes d’exploitation est concernée.

    sur http://www.01net.com/editorial/385935/un-mega-patch-pour-combler-une-enorme-faille-d-internet/

    Cordialement jean.

    >> Une belle faille effectivement :) Tous nos DNS sont à  jour et ont été testés (l’AFNIC ayant largement communiqué sur ce sujet). La faille en question concerne les DNS récursifs, plus principalement les FAIs donc.

Laisser un commentaire