HTML:RedirMe-Inf
Salut les boys,
Je bosse dans une PME familiale où faute de mieux et parce que ça me fait marrer, je suis l'informaticien attitré.
Sauf que bien entendu ce n'est pas mon métier et que même si j'arrive à faire semblant devant eux, là c'est l'échec.
Il y a un parc de PC géré par une entreprise externe, avec un serveur tout ça.
Et deux PC, achetés à la nique chez Darty, avec juste Avast et basta.
Problème aujourd'hui un de ces PC interdit l'accès à notre propre site de vente en ligne.
Avast ouvre un message "HTML RedirMe-Inf" et après recherche sur internet j'ai fait plusieurs scan Avast jusqu'à absence de virus (y'en avait).
Plusieurs analyses malware avec AdwCleane, Malwarebyte’s anti-Malware et NOD32.
Ils ont chacun effacé des trucs mais le problème demeure.
Pour information le site est noté "pas fiable" par Avast sur Chrome dans la recherche Google sur ce PC alors qu'il s'ouvre normalement sur les autres PC du parc.
Comme si un malware disait à l'ordi de rediriger vers un site de merde quand on veut aller sur le site.
Maintenant que j'ai installé Malwarebyte’s anti-Malware avec l'essai gratuit lorsque je veux aller sur le site il me le bloque, conjointement avec Avast.
Mais sans me dire comment éliminer la menace.
Si vous avez des idées !
Merci du fond du cœur.
@feiho: effectivement il est en HTTP. je vais regarder sur le poste s'il est dans la Sandbox d'Avast. je devrais dire à notre webmaster de mettre le site en HTTPS ? dans tous les cas merci gros.
@feiho: je viens de faire le test sur l'autre PC "Darty" et effectivement j'ai le même message d'erreur. seulement je n'ai pas de Sandbox dans la version gratuite d'Avast que j'utilise (sur les deux postes). je sais qu'il est safe ce site puisque c'est le notre.
@petitechaise: Heu si le webmaster c'est un branquignol comme toi, il à très bien pu se faire modifier/hacker.
Tiens tu est un geek toi, Facebook, internet, la Gameboy, tu connais tout ça. Tu voudrais pas nous faire un site internet ?
@feiho: je viens d'exclure le domaine de l'agent web d'Avast et de Malware Mescouillesenski et j'arrive à afficher le site mais un pop-up Avast me signale que "Avertissement ce site aurait pu endommager votre ordinateur" avec le seul bouton "quitter ce site"
@Pouki: ouais en gros c'est un peu l'idée. quand je parle informatique avec eux je me sens comme un hacker qui explique les internets à sa mémé. seulement moi je le fais comme un loisir. alors que le webmaster lui il est payé pour et je pense (au fond de moi) que oui, c'est un branquignol.
@feiho: ça va t'es pas cher. je dis au webmaster en mousse de passer le site en HTTPS ? parce que je me dis que le moindre pèlerin avec Avast autant il ne peut pas accéder au site ?
Il s'agit d'une redirection vers un autre domaine lorsque tu visites ton site Web.
Tu as 2 possibilités :
- Soit les 2 PC sont infectés par le même type de logiciel malveillant (Et insères du code supplémentaire dans toutes les pages que tu visites)
- Soit le site en lui même est infecté (Quelqu'un à réussi à ajouter du code directement dans le site)
Pour savoir dans lequel des cas tu es, il suffit d'aller sur le site depuis un de ces 2 fameux PC et tu affiches le code source (Tu le sauvegardes en .txt sur le bureau par exemple)
Puis tu fais la même chose depuis un PC clean et tu compares les 2 fichiers.
Si il y a des différences, c'est que c'est le PC qui est infecté, sinon c'est directement le site.
Après, cela peut être un faux positif de la part d'Avast mais j'en doute.
@petitechaise: Pour afficher la source, je te conseille Firefox.
Tu fais un petit CTRL+A puis Code source de la la sélection.
@IDoc: j'ai fait le copier/coller du sale et du clean avant de voir ton message avec Chrome. je les ai comparé avec Notepad++ et il y a quelques différences mais je ne sais pas si ça explique le problème...
@IDoc: les deux fichiers txt par MP ? de toute façon n'importe qui peut prendre le code source d'une page ?
@petitechaise: Aucune différence notable entre les 2 sources.
Du code malveillant est présent dans les 2 sources donc si tu es sur a 100% que le PC indiqué comme clean est bien clean, quelqu'un à injecté du code malveillant directement sur le site.
Ligne 158 : script src="//xxxxxx.netxxxhost.com/Blog/lib2/js/js.js"
Un petit article sur ce bout de code : http://labs.sucuri.net/?note=2016-05-06
Il faut surement vérifier que le CMS utilisé ainsi que tout ses plugins sont bien à jour.
Si il est bien à jour, le Webmaster va avoir pas mal de travail pour trouver la faille.
@petitechaise: Mon médecin me le déconseille fortement.
Il y a beaucoup trop de Jean-Kevin qui se déclarent Anonymous et le soucis c'est que j'en suis allergique.
Puis suivre aveuglement des décisions prisent par un random type pour des raisons politiques, c'est pas mon kiff.
@IDoc: je te crois. je viens de tester sur des ordis hors du réseau (Mac et PC) et y'a toujours le netxxxhost...
@petitechaise: Tout simplement en recherchant dans le code source de tout ce qui ne provient pas de ton domaine (img/iframe/script/redirect)
Edit : Mais en enlevant la ligne tu ne fais que couper une mauvaise herbe, les racines sont toujours présentes.
Voila pourquoi, il faut toujours faire les MAJ des CMS.
Il faut eviter au maximum les addons sur les CMS, ce sont des nids à faille.
Salut, alors avec le peu d'information donnée et un peu d'extrapolation, ton site est un site de merde (je sais c'est dur !). En fait, tu es devenu un hôte de script.JS qui essaye de récupérer nos informations CB. Quelques conseils :
1. Tu oublies ton côté Geek et tu laisses faire des pros
2. Tu fais une màj de ton site avec les dernière versions et tu vires les addons qualité (themes, fioritures,etc..)
3. Tu achètes un vrai antivirus, pas cette merde d'Avast ! (Qu'on peut bypass très facilement)
4. Tu croises les doigts pour que tu ne sois pas un espace de vente en ligne dessus (viagra, etc, )
5. Tu passes ton site ne HTTPS !
ça devrait déjà te prendre bien 3 semaines !
@MyName: avec le peu d'informations que j'ai donné t'as réussi à lire de travers. c'est pas mon site. c'est celui de ma boite. c'est pas moi le webmaster. et le problème est réglé.
@petitechaise: Ben nice alors, tu devrais quand même le passer en HTTPS, surtout pour le côté professionnel, fin après tu vois !
Commentaire supprimé.
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.