Cheval de troie

[richere]

Détails techniques

Version du forum : phpBB2
Poste occupé : Administrateur
Navigateur(s) concerné(s) : Google Chrome
Personnes concernées par le problème : un seul membre
Problème apparu depuis : 1 semaine
Lien du forum : https://astro-ciel.com

Voir:

Description du problème

Bonjour, j'ai un membre qui me dit que son ordi détecte un virus á chaque fois qu'elle accede à mon forum. (Cheval de troie )
Pouvez vous m'aider à lui répondre parce que je vous avoue ne pas savoir quoi faire dans son cas.
Merci et bonne soirée

[Pinguino]

Bonjour,

Sans plus d'informations, impossible de vous apporter une réponse sur l'alerte en elle-même. Avec ce type de logiciel (Malwarebytes), il peut arriver qu'une alerte s'affiche occasionnellement à cause d'une ressource présente sur la page : codes JS perso, publicités, ...

De notre côté, nous n'avons pas d'autres plaintes sur le support français ainsi que les autres à ce sujet.

Il faut donc que cette personne donne plus d'informations sur cette alerte et indique notamment la ressource qui la déclenche : capture d'écran de l'alerte, cliquez dessus pour avoir plus de détails, ...

[chattigre]

Bonjour,
Parfois justement, l'alerte est le virus...
Autrement dit, une ressource "fait croire" que l'ordinateur a été infecté, mais il n'en est rien !
Par exemple : Une fenêtre s'ouvre et vous demande d'appeler un numéro de téléphone pour obtenir de l'assistance et dépanner au plus vite votre PC...
Surtout, ne pas appeler !

[richere]

Merci pour les réponses...
Voici une capture d'écran de la fenêtre d'info que j'ai obtenue.

[richere]

Est-ce qu'il peuvent cliquer dessus le mot cheval de troie en lien bleu?
Ou il ne faut pas ?

[chattigre]

Bonjour,
Vu comme ça, oui, ça a bien l'air de Malwarebytes installé sur son ordinateur , et pas du type de "soit disant antivirus appelez vite" dont je vous ai parlé tout à l'heure sans la capture d'écran .
Maintenant, il faut attendre un retour du Staff pour un problème venant de FA, ou chercher dans vos ressources personnalisées (widgets de sites externes peu fiables par exemple... ou éventuellement codes Javascript si vous en avez installé, etc.)
PS : Chez moi, votre forum est plus large que mon écran et j'ai une barre de défilement horizontal, je ne suis pas sûr que c'est volontaire ?

[richere]

Il y a longtemps que je n'ai ajouter ou modifier quelque chose sur le forum.
Je vais attendre une rèponse du staff
Ensuite je regarderai pour la largeur du forum. Non ce n''est pas volontaire, je vais y voir plus tard  pour corriger.
Merci à toi

[Neptunia]

Bonjour ^^


Ils peuvent cliquer sans risque, MalwareBytes provenant d'un éditeur sérieux.

Vous appelez deux fois ce script sur la page d'accueil !

Code:

<script type="text/javascript" src="http://www.aht.li/2066386/jscroller2-161.js"></script>

Il serait intéressant de voir si en faisant l'appel en https, cela résout le souci. Sinon le plus simple est encore de placer le script sur votre panneau admin des fois que MalwareBytes ait une dent contre Archive-Host

[richere]

Ok mais je vai asseyer de revoir mes codes via archives host

Sinon j'ai beaucoup de mal a suivre ...
Ça devient compliquée

(Si c'est plus simple de placer ce code dans le paneau d'administration...)
Je doit le mettre où ce code exactement ?
et puis apres, je n'utilise pas Malwaresbytes pour pouvoir verifier par la suite...
Sinon, ceux qui utilisent Malwaresbytes et Adblock ne rencontre pas de soucis.

[chattigre]

Ok mais je vai asseyer de revoir mes codes via archives host

Sinon j'ai beaucoup de mal a suivre ...
Ça devient compliquer

• L'antivirus de votre membre a bien une dent contre votre forum
  
• Il se pourrait que ça vienne du fait que les ressources sont appelées (= insérées) en http. Essayez de rajouter un s dans l'adresse des ressources (https://[adresse]) - (pensez à vérifier que le site de la ressource est disponible en https )
  
• Il se pourrait que l'antivirus n'apprécie pas que les codes JS appelés (entre autres ceux donnés par Neptunia) soient hébergés sur Archive Host Essayez d'héberger les codes JS via la section dédiée du forum
  
• Ou une autre raison venant soit du membre, soit de Forumactif  
  

[richere]

Ok j'ai trouvée les deux codes dont me parle Neptunia, j'ai verifier sur google si ils existe avec un S .
Et e vais simplement les modifier dans mes templates
On va voir par la suite si tout revient a la normal avec mes membres

[chattigre]

Attention : Assurez-vous que les ressources s'affichent normalement après le changement.
Si ce n'est pas le cas, c'est que le site qui héberge les ressources n'est pas disponible en https

[richere]

Oui oui c'est fait,
et après vérification mes Js scroller fonctionnent bien.

[Chiva_01]

Yop,

En vérifiant l'adresse IP sur la capture d'écran, ça viendrais bien de Archive Host.

[richere]

ok merci.  alors si je met le code dans le paneau d'administration ( j'ai retrouvée oû ! )
qu'est-ce que dois-je faire de mes deux code inserrés dans le template ?
simplement les 'oter (la balise  script au complet)  sans toute briser ?
voici un extrait:

Code:

<table class="tout_tab2" align=center width="150" cellspacing="3">    
      <tr>      
        <td width="176" class="haut_tab">                  
          <div id="scroller_container2">          
<script type="text/javascript" src="https://www.aht.li/2066386/jscroller2-161.js"></script>          
            <div class="jscroller2_up jscroller2_speed-40 jscroller2_mousemove">                       <br />            
              <img src="https://i.servimg.com/u/f55/15/76/82/52/astro-11.png" />            <br /><br />                    
              <img src="https://i.servimg.com/u/f73/15/76/82/52/pointr10.png" />            
              <img src="https://i.servimg.com/u/f73/15/76/82/52/pointr10.png" /><b>Vidéos</b>                    
              <img src="https://i.servimg.com/u/f73/15/76/82/52/pointr10.png" />                    
              <img src="https://i.servimg.com/u/f73/15/76/82/52/pointr10.png" />                                                   <br /><br />                       <b>VANESSA <br />CHAMONAL</b> <br /><br />"Année 2020"<br /><br />                
              <div id="menu_vertical_1">                                    
                <ul>                                                                      
                  <li>                  
                  <a href="https://www.youtube.com/watch?v=DowolKg0WY4"target='_blank'title="" alt="bélier">Bélier</a>                
                  </li>                
                  <li>                  
                  <a href="https://www.youtube.com/watch?v=DperFQMlQBc"target='_blank'title="" alt="taureau">Taureau</a>  

[chattigre]

Il me semble que oui ^^
Vous pouvez essayer
Faites une sauvegarde de votre template avant au cas où...

Assurez-vous d'avoir activé le Javascript sur les bonnes pages (ou sur toutes les pages) dans votre PA ^^
Sinon, il y a une autre solution, je vous la donnerai si le fait de retirer le script du template fait planter le code .

[richere]

Ok merci beaucoup, oui je vais tout sauvegarder pour ne rien perdre...
Je vais attendre cette nuit quand le forum sera moin actif.
Merci beaucoup et a demain

[Pinguino]

Bonjour,

Effectivement, l'alerte porte bien sur le domaine aht.li que vous utilisez pour héberger vos script, la favicon, ... Faîtes bien le tour du panneau d'administration pour trouver les endroits où vous avez utilisé ce domaine. Le plus souvent, il s'agit des modifications dans les templates et les widgets du forum.

Après sur la page d'accueil, il ne me semble voir que la favicon et un script.

Bon j'arrive après la bataille car je vois que vous avez déjà reçu une aide précieuse. Bon courage

[Neptunia]

Le favicon est ré-hébergé automatiquement sur 2img.net donc normalement ça posera pas de souci.

[Pinguino]

Pour le coup, je ne sais vraiment pas comment ça fonctionne car cela dépend du système de détection du logiciel. Et comme le domaine est inscrit dans l'URL 2img.net, ce n'est pas dit qu'il n'y ait plus d'alerte. Mais en toute logique, je te rejoins !

[richere]

Bon me revoilà,
j'ai retirée le code.js (à deux endroit) dans mon template
et créer un nouveau javascript pour ensuite l'activé sur toute les pages du forum  
Malheureusement il ne veut pas fonctionner et de plus cette démarche a désactivé deux autres scripts qui fonctionnait bien jusqu'ici.
( j'en compte au total une douzaines de script et je pense qu'il y en a un ordre d'installation qui désactive d'autre)

Alors pour faire rapide, je vais carrément supprimer les codes entier dans mon template et je verrai alors si ça peut règler le problème des membres...
du moins le temps que je trouve moyen de le réinstaller sans arrêter les autres scripts déjà présent en list dans le PA.

Je vais revoir aussi mes widgets.

[Neptunia]

Avez vous essayé de remplacer simplement http://www.aht.li par https://www.aht.li ?

[chattigre]

Bonjour,
Testez ce qu'a dit Neptunia juste ci-dessus si ce n'est pas fait ^^
Cela ne fonctionne pas ?
On va donc tenter la méthode 2
Vous hébergez vos JS sur votre forum mais vous décochez toutes les cases de placement (autrement dit votre JS n'est placé nulle part ^^).
Vous avez ensuite cette vue de la liste de vos JS :

Copiez l'URL de votre Javascript
Insérez votre Javascript au bon endroit (comme avant, reprenez votre sauvegarde ^^) dans vos templates.
Les JS sont désormais hébergés sur votre forum donc il ne devrait plus y avoir de problèmes ^^
Rappel : Syntaxe d'insertion du JS : <script type="text/javascript" src="URL"></script>
Bonne journée

[richere]

Oui Neptunia, c'est ce que j'ai tenter en premier (tu peux le voir dans mon printscreen en haut),
mon code s'animait bien mais mes membres me disaient que leur cheval de troie y était encore là.
Mais peut être qu'ils n'avaient pas pensé de faire un refresh de leur ordi ( vider l'historique)
Mais cette nuit, pour être certaine que le problème vient bien de ce code, (et non pas du favicon ni widget) j'ai complètement supprimer mes petites boites animés qui utilisaient ce code java dans le template et ce matin,
le membres m'ont confirmer que tout est beau ce matin..
Maintenant que je suis fixée, je n'aurait plus  a chercher ailleur ( favicon et widget ou autres templates qui m'auraient échapée )

Merci pour le truc Chattigre, j'ai bien compris la manoeuvre
Dans mon template,  je vais inserer l'url du code java hébergé sur le forum et décocher toutes les cases dans le PA.
Et te reviens qu'après avoir réussie le coup et m'assurer que le problème est bel et bien disparu auprès de mes membres  

[Neptunia]

En fait ça ne nous dit toujours pas si c'est le code qui pose problème (ce dont je doute fort), ou simplement son URL.

On sera fixés quand le code sera hébergé soit directement sur le fofo, soit chez un autre hébergeur.
J'aurais bien proposé de vous l'héberger et vous fournir un lien, mais si c'est au niveau de l'IP que le blocage s'opère, ça changera rien. Je n'utilise pas d'adresses en aht.li mais des adresses sur un domaine perso hébergé par Archive-Host.

[chattigre]

On va donc tenter la méthode 2
Vous hébergez vos JS sur votre forum mais vous décochez toutes les cases de placement (autrement dit votre JS n'est placé nulle part ^^).
Vous avez ensuite cette vue de la liste de vos JS :

Copiez l'URL de votre Javascript
Insérez votre Javascript au bon endroit (comme avant, reprenez votre sauvegarde ^^) dans vos templates.
Les JS sont désormais hébergés sur votre forum donc il ne devrait plus y avoir de problèmes ^^
Rappel : Syntaxe d'insertion du JS : <script type="text/javascript" src="URL"></script>
Bonne journée

Quel est le résultat de ceci ?

[richere]

Bonjour Chattigre, résultat du test méthode 2 :
malheureusement le script (hébergé sur astro-ciel et toute case décochées )
que j'ai insérée dans le template ne s'anime pas.
(Mais en positif, mes autres script du forum fonctionnent contrairement à la première méthode

Voir:

j'ai bien enregistrée le script et le template, fait un refresh de ma page forum et niet.

[Neptunia]

Essayez de remplacer dans le template !

Ceci :

Code:

<script type="text/javascript" src="https://www.astro-ciel.com/28264.js"></script>

par cela :

Code:

<script type="text/javascript" src="https://www.badwholf.uk/rsc/js/jscroller2-161.js"></script>

Si ça fonctionne, n'oubliez pas de demander aux membres utilisant MalwareBytes Anti Malware s'ils n'ont plus de souci parce que le script est toujours hébergé chez Archive-Host (même s'il s'est déguisé en "méchant loup")

[richere]

ok je veux bien tester ton idée, tu es bien gentille Neptunia mais ce code ne me rendra pas autonome,,,
je veux dire que si toi tu décidais qu'il n'était plus utile de l'héberger, et que tu supprimais la source,
je me retrouverai avec un code qui fonctionne plus,,,
j'ai des craintes, car c'est arrivé dans le passé avec des codes fournit par d'autres et j'en ai perdue.

[Neptunia]

Il s'agit juste de tester !

Si ça marche avec mon lien, c'est que tu as mal recopié le script dans ton panneau admin. D'ailleurs dans la version panneau admin, tu as enlevé les copyrights du script.

Et si ça marche avec mon lien, ça veut dire aussi que ce n'est pas le contenu du script qui est en cause, mais là où il est hébergé.

Si les tests sont concluants, je te dirais quoi mettre dans la gestion des codes javascript.