Nouvelle analyse antivirus à l'aide de signatures en interne

16 avril 2014 à 13:37

Bonjour,

J'ai dû créer un second robot antivirus sur la même base et la même forme des rapports mails du premier robot, mais cette fois-ci je vais détecter en plus : mes propres signatures virales que je vais rencontrer au fil du temps.

J'ai pu ainsi alerter par mail 3 hébergés que leurs sites sous Joomla étaient infectés de scripts PHP vérolés permettant d'envoyer du SPAM. Spam que je limite avec les limitations d'envois de 100 mails / heure, progressivement par le score de l'anti-spam sortant mais également au niveau des remontées d'erreurs de mails non délivrés.

Voici le genre de fichiers infectés :

Code : Tout sélectionner

/www.***.com/conf/proxy.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/conf/.9bc3c2.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/.fantasticodata/.532a11.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/.fantasticodata/footer.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/sbin/global.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/sbin/.7e4089.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Install/include.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Install/.1c6238.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Templates/.e17493.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Templates/file.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/topimgbak/.565c2c.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/topimgbak/javascript.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/incoming/.f26840.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/incoming/cache.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/.spamassassin/.70a5c5.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/.spamassassin/session.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/css/blog.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/css/.060a35.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Templates/.e20727.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/Templates/menu.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/statistics/general.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/statistics/.d59ca7.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/errordocs/.64a3ca.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/errordocs/login.php (Script PHP de SPAM/FLOOD mail)[/quote]
/www.***.com/components/com_users/7dzf1a.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/components/com_contact/kd6ef0.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/TMP/.f75daa.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/TMP/dirs.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/pd/.5b1256.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/pd/start.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/logs/db.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/logs/.9ba766.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/modules/functions.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/modules/.5b2bd3.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/menu/gallery.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/menu/.83aab3.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/config/.227fc2.php (Script PHP de SPAM/FLOOD mail)
/www.***.com/config/dirs.php (Script PHP de SPAM/FLOOD mail)

J'ai désactivé la fonction mail de ces 3 hébergés et je leur ai demandé de mettre à jour absolument leur solution Web car même s'ils suppriment ces fichiers vérolés, ils reviendrons par la même faille de sécurité.

Cookie	Description
PHPSESSID	Ce cookie est natif des applications PHP. Ce cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Ce cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
SRVNAME	Ce cookie permet de stabiliser l’affectation du nœud Web derrière le mécanisme de répartition de charges Web.
VIEWED_COOKIE_POLICY COOKIELAWINFOCONSENT COOKIELAWINFO-CHECKBOX-NECESSARY COOKIELAWINFO-CHECKBOX-ANALYTICS COOKIELAWINFO-CHECKBOX-PREFERENCES	Ces cookies sont définis par le mécanisme de consentement RGPD des cookies et sont utilisés pour conserver le consentement ou non de l'utilisateur des cookies. Il n'y a aucune données personnelles dans ces cookies et ils permettent de mémoriser un éventuel refus.
PMA_LANG_HTTPS PHPMYADMIN_HTTPS PMAUSER-1_HTTPS	Cookies liés avec l'outils PhpMyAdmin lorsque le client est connecté sur son espace client.
PHPPBB3_S1W4X_K PHPPBB3_S1W4X_U PHPPBB3_S1W4X_SID	Cookies liés avec les forums PhpBB3 de FranceServ Hébergement.

Cookie	Description
login	Ce cookie permet de mémoriser sur le navigateur, un jeton d'authentification automatique pour le client lorsqu'il le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lors de sa création. Ce cookie devient invalide au bout de 30 jours.
otp	Ce cookie est utilisé pour authentifier automatiquement le client à son gestionnaire par la double authentification, ce jeton d’authentification est valide pendant maximum 30 jours lorsque le client le décide. Ce cookie est chiffré et est rattaché au navigateur Internet et à la connexion Internet lorsqu’il a été crée et sera automatiquement supprimé lorsque c’est nécessaire.

N'hésitez pas à découvrir nos services et à nous contacter, nous vous répondrons rapidement.

Forum

Nouvelle analyse antivirus à l'aide de signatures en interne

Partenaire