QUOI : "malware" type "permalink"
- 3 attaques par ajout à tous les fichiers .html dans le "body" d'un "script" en "text/java-script" contenant une source "src";
- étiquette de 6 caractères alphanumériques (changement sur chaque fichier infecté); php de 8 caractères alphanumériques; id de 8 chiffres;
- "src" référencée qui "peut endommager ordinateur" sur "Blacklist Malware" de GOOGLE.
OÙ
- site personnel répertorié par GOOGLE via ajout d'un fichier googlexxxxxxxxxxxxxxxx.html (16 caractères alphanumériques);
- plusieurs PC et Mac avec antivirus différents.
QUAND : 3 fois en 6 mois
- vendredi 5 Septembre 2014: source = autocircus-neunkirchen ; localisation Allemagne;
- jeudi 11 Novembre 2014: source = tedgenet.com ; localisation Etats-Unis/Ohio/Greenville;
- mardi 3 Février 2015: source = heirem-art ; localisation Allemagne; attaque de 06h47 à 06h52 (datation donnnée par les fichiers attaqués vus sous logiciel FTP).
COMMENT : constat
- 2 fois à l'ouverture du site, par logo SITE MALFAISANT de GOOGLE invitant les internautes à ne pas poursuivre visite;
- 1 fois, lors de la mise à jour d'une page, par découverte du "text/java-script" rajouté.
POURQUOI : attaque se produit après envoi d'un même courriel signalant une nouvelle "pageperso" à un groupe de destinataires dont au moins une adresse se termine par .gouv.fr
ACTIONS
- détruire tous les fichiers du site;
- réinstaller site qui est dupliqué;
- contacter www.stopbadware.org (site très bien fait; regarder la belle vidéo pédagogique de GOOGLE) pour examen site refait puis enlèvement de la liste des SITES MALFAISANTS
____________________
PS: Merci de donner remarques, idées ou le bonjour encliquant ci-dessous:
christian.degastines@orange.fr
Retour à SOMMAIRE