trojan ou faux positifs sur forumActif???

[pierrot22]

Bonjour,

Voici la deuxième partie de mon sujet qui a été fermé car j'avais mis trop de temps à rassembler les éléments.
En tout cas, je reviens avec beaucoup plus d'informations:

Petit rappel, l'un de mes utilisateurs avait son antivirus "BlueCoat (Sophos)" qui s'affolait car un cheval de troie avait été détécté. C'était le seul dans ce cas, et cela ressemblait plus à un problème sur sa machine.

Voici un début de présentation sur ce trojan en cliquant sur ce lien

Erreur ! le trojan est bien là, et finalement après plusieurs recherche a été débusqué ! (et pourrait tout a fait toucher votre forum...)

Il se situe dans la partie "poster un message" à la suite d'une discussion.... en affichant le code source voici ce que l'on obtient:
Le micmac de code est la signature de ce petit trojan qui est referencé chez Sophos sous celien

Mais où est il? Il se trouve dans les templates "posting_body_wisywyg" "posting_body" et "posting_confirm_code" en bas (en tout cas je ne l'ai trouvé qu'ici pour l'instant) voici ce que cela donne


Je ne sais pas encore quelle partie supprimer pour ne pas affecter l'action post de mon forum.

Pour info, je n'ai pas laissé trainé mon code d'admin à n'importe qui, et je ne sais pas comment quelqu'un a put modifier les templates. Je vous invite à verifier vos propres templates

Quelle partie du scritp pourri supprimer?
Est ce une faille de mon forum ou de forumgratuit?

en tout cas merci

[pierrot22]

petite précision interressante, les templates modifiés n'apparaissent pas comme "modifiés"



on peut donc craindre une contamination plus massive !
et seconde précision qui confirme ce que je crains:
j'ai un autre forum sur un thème tout a fait différent, et dont les membres n'ont rien a voir, et le constat est le meme...

[pierrot22]

dernière précision qui confirme mes intuitions...
Même le forum de ForumActif est hacké..... Pour vous en rendre compte, affichez le code source d'une page de post de message du forum des forums (comme celle sur laquelle vous êtes en ce moment même) ! et vous trouverez la partie de code malveillante !



Après WordPress, ForumActif victime lui aussi....

[At0mic]

Bonjour,

S'il s'agit bien de javascript encodé, il ne s'agit en aucun cas d'un quelconque virus. Il s'agit d'un faux positif qui ne semble concerner à cette heure que votre antivirus.

[pierrot22]

Si je comprend bien ce que vous me dites, la section de code que je montre dans mes copies écran est une section encodée par ForumActif tout a fait saine?

[mama3802]

J'ai la même chose dans mon template à la fin. Et ce matin tout les derniers posts ont disparus de mon forum. Et ma barre de navigation également... =/
Je n'ai jamais donner mon mot de passe etc...
On ne peut pas retrouver cela?

[Threax]

J'ai la même chose dans mon template à la fin. Et ce matin tout les derniers posts ont disparus de mon forum. Et ma barre de navigation également... =/
Je n'ai jamais donner mon mot de passe etc...
On ne peut pas retrouver cela?

Votre problème est plus probablement lié à celui-ci :
https://forum.forumactif.com/t302254-page-de-maintenance-perte-des-messages#2645916

[pierrot22]

Bonjour,

Si je comprend bien, ces lignes de codes sont bien codées par forum actif et sont mal vues par l'antivirus blue coat?

pouvez vous me confirmez cela?

Je vous remercie

[Shadow]

Bonjour,

Si je comprend bien, ces lignes de codes sont bien codées par forum actif et sont mal vues par l'antivirus blue coat?

pouvez vous me confirmez cela?

Je vous remercie

Oui, c'est bien ce que vous avez compris.

[pierrot22]

ok je vous remercie de votre aide, je cloture le topic, j'éspère ne pas avoir affolé tout le monde.

Merci pour votre réactivité, et pour le service que vous procurez !