Jump to content
F4FQH

Malware

Recommended Posts

F5CMQ

J'ai du mal m'exprimer. Le domaine jquery-ul.com est passé momentanément  en liste rouge sur les antivirus, du moins sur Malware Bytes Anti Malware.

'où le message d'alerte constaté par certains utilisateurs. Par ailleurs le dit site ne ressemble pas vraiment à une base de données de script js ;)

Et enfin jquery-ul.com ressemble beaucoup (trop) à jquery-ui.com. Bref, ça pue.

Jm
 

2020 08 30 - 16 28.jpg

Share this post


Link to post
F4DBD

@F5CMQ attention de ne pas confondre.

Le site est https://jqueryui.com/  et si vous tapez code.jquery-ul.com (ce qui est présent dans l'entête de radioamateur.org) vous tomberez bien sur le site https://jqueryui.com/ 

Il y a une subtilité dans l'adresse du site que vous indiquez qui ne prend que la fin de l'adresse en omettant "code." car c'est ça que cherchent les spécialistes du fishing : tromper les gens avec de petits détails...

Share this post


Link to post
F5JVD

Ce n'est pas  jquery en général qui est en cause !!!!

C'est le fait que le script appelé depuis le site jquery-ul.com contient une petite modification à celui d'origine.

C'est cette ligne qu'il faut voir.

image.png.89489f28cd77562839ab113838ead2a6.png

Et en l’occurrence c'est un vrai positif !

Share this post


Link to post
F5CMQ

Doublement merci PL.

Share this post


Link to post
F4FQH
Posted (edited)

mal vu desole !

Edited by F4FQH

Share this post


Link to post
F4FQH
Posted (edited)

Rassurez vous F5JVD et F5CMQ, je pense bien qu'il y a un probleme mais c'est pas grave...

un collegue qui ne sait pas gerer correctement l'informatique , pour lui c'est bloquant, kaspersky bloque l'acces au site. Et il ne sait pas si c'est dangereux, si il peut bypasser l'alerte etc etc.

Pour d'autres c'est pareil, il faut donc corriger le probleme mais apparement, on a tord

Alors j'ai fait mon taf, j'ai signale le bug, maintenant libre aux "OWNERS" de faire ce qu'ils veulent...

73

 

Edited by F4FQH

Share this post


Link to post
F4FQH

la detection sous kaspersky a evolue et change...

Sans titre.jpg

Share this post


Link to post
F6CSS
Posted (edited)

Bonjour

Il y a 15 heures, F5JVD a dit :

Ci joint  les premières lignes de code de la page d’accueil du site.

image.thumb.png.503e6db304f2fd6609864ecd9ef04668.png

Ci joint le code associé.

 

image.thumb.png.8e9ab6da9013e07fff1b5f45b9ab1101.png

Comme nous avons des experts, ils devraient pouvoir analyser...

Pour ma part, j’arreterais là, je pense que ces infos seront utiles au gestionnaire du site.

73, PL

 

Merci pour ces infos.   Je ne suis pas un expert mais c'est curieux cet appel de script en toute première ligne de la page d’accueil :huh:

Et effectivement , si l'on passe par l'intermédiaire d'un des moteurs de recherche mentionnés,  il y a une "redirection"  vers l'url en paramètre de "windows.location.replace() " . Cette URL est ... douteuse !

 

 

 

Edited by F6CSS

Share this post


Link to post
F6BHW

Bonjour,

 Pour info des spécialistes : Je suis également sous Kaspersky avec Windows 8.1 / 32 bits. J’ai nettoyé le PC ; tout est normal …

 Si je passe par « Google » pour me connecter sur « radioamateur.org » là j’ai le blocage comme indiqué par F4FQH (Cf. page de Kaspersky) … Par contre, si je passe depuis les favoris ça marche normalement ...

 Mais comme je suis juriste, je laisse les experts en informatique  me donner une explication (pour info : j’ai fais un essai avec un autre PC W10/ 32 bits et un autre anti virus / Pas de problème ça fonctionne normalement dans tous les cas de figure). Donc un Pb d'anti viirus ????

Je vous remercie

Cordialement 73 Robert f6bhw

Share this post


Link to post
F6CSS

Bonjour Robert,

Les experts confirmeront, mais pour simplifier on va dire qu'il y a "un bout de programme farceur" (bloqué par les antivirus) qui s'exécute sur radioamateur.org si la demande de connexion provient d'un moteur de recherche.
Ce programme renvoie vers des pages web  douteuses  ( "  hameçonnage  " sur des sites de jeux).

Ce n'est pas un problème "local" aux machines.

73 J.Claude

  • Merci ! 1

Share this post


Link to post
F6BHW
il y a 9 minutes, F6CSS a dit :

Bonjour Robert,

Les experts confirmeront, mais pour simplifier on va dire qu'il y a "un bout de programme farceur" (bloqué par les antivirus) qui s'exécute sur radioamateur.org si la demande de connexion provient d'un moteur de recherche.
Ce programme renvoie vers des pages web  douteuses  ( "  hameçonnage  " sur des sites de jeux).

Ce n'est pas un problème "local" aux machines.

73 J.Claude

Bonjour J. Claude f6css,

Merci pour votre réponse, cela rejoint totalement mon analyse du dossier 

Cordialement et 73 de f6bhw Robert

Share this post


Link to post
F4FQH

Bonjour,

pour info hier par 2 fois il m'a refuse de me logger et en cliquant de nouveau sur connexion il s'est connecte.

On va esperer de ne pas se faire voler les donnees....pour contourner pour ceux qui passent par google, cliquez directement sur un rubrique non pas sur la page de garde.

Sinon faites un raccourcis direct au site.

la technique en informatique c'est mon boulot, mais je suis zero en programmation et conception de site. Donc je ne peux que constater.

73

Olivier

 

Share this post


Link to post
F5CMQ
Posted (edited)

Ca n'a peut-être rien à voir mais le fameux domaine jquery-ul.com a changé de registrant le 20 août.

Par ailleurs la redirection sur ce script évolue et mène bien sur des domaines plus que douteux et bloqués par MBAM

Par exemple :
window.location.replace("http://niworfrkysocsmaror.tk/index/?Bkm9gr

Si le non de domaine (toujours en extension .tk) est variable, le suffixe "Bkm9gr" semble fixe et est répertorié comme nuisible dans les bases de données spécialisées.

73
 

2020 08 31 - 08 45.jpg

Edited by F5CMQ
  • Merci ! 2

Share this post


Link to post
F5PSR

Bonjour,

Je profite de ce message car j'ai aussi un problème d'accès au site de radioamateur.org depuis quelques semaines avec une tablette sous Android.

Alors que j'écris bien manuellement l'adresse du site, cela me répond :

"Votre connexion n'est pas privée.

Des individus malveillants tentent de subtiliser mes informations personnelles sur le site radioamateur.org...

NET: ERR_CERT_AUTHORITY_INVALID

... Impossible de vérifier sur le serveur qu'il s'agit bien du domaine radioamateur.org car son certificat de sécurité n'est pas considéré comme fiable par le système d'exploitation de votre appareil... "

Je n'ai ce problème que sur une tablette Android (Asus), quel que soit le point d'accès, alors que cela fonctionne correctement sur chacun de mes autres machines Android et Windows.

Si quelqu'un pouvait m'aider à surmonter ça, je suis preneur.

 

 

 

 

 

Share this post


Link to post
F6DGJ

Le mieux serait de corriger au lieu de pinailler, c'est pas moi c'est lui non ?

Share this post


Link to post
F5CMQ

Beaucoup peuvent pinailler, peu peuvent corriger.

Share this post


Link to post
F6CSS

Bonjour

Il y a 2 heures, F5PSR a dit :

Je profite de ce message car j'ai aussi un problème d'accès au site de radioamateur.org depuis quelques semaines avec une tablette sous Android.

 

Suggestion : vérifiez que la version de votre navigateur soit bien à jour (validité des certificats) et aussi que la tablette soit bien "à l'heure" (jour date etc..) . 73

Share this post


Link to post
F5LEN

Ca tourne en rond ce sujet. Le soucis n'est pas du côté "client" et il sera facile d'en régler la cause.

73 Pascal - F5LEN

  • Message intéressant 2

Share this post


Link to post
F6CSS
Posted (edited)
Il y a 1 heure, F5LEN a dit :

Ca tourne en rond ce sujet.

 

Je ne pense pas. Le problème a bien été identifié par F5JVD et F5CMQ  : Exécution d'un script dans la page d’accueil de radioamateur.org. Ce script,  hébergé chez "code.jquery-ul.com" ,redirige
le navigateur vers des urls de ce style (   http://niworfrkysocsmaror.tk/index/?Bkm9g à vos risques et périls ! !) si vous passez préalablement par un moteur de recherche pour vous connecter à radioamateur.org.
Quant à ma réponse sur "un problème client" (F5PSR) indépendamment du sujet principal c'était une simple suggestion afin de rendre service.

Edited by F6CSS

Share this post


Link to post
F5CMQ

Facile, oui. Rapide, on verra, car certains ne semblent pas encore convaincus que le côté serveur est concerné.
Encore un peu et les râleurs seront traités de "complotistes", hi.

Jm

 

Share this post


Link to post
F4FQH

Au final......je vois que ca pose des problemes a pas mal de monde..... certain on meme change d'avis ! wow !

Le traitement du probleme sera plus long parce que...c'est F4FQH qui a lance la bete !😁, donc vous etes pas sortit de l'auberge....on sait jamais, si j'avais raison...

Pour la tablette de F5PSR c'est le meme probleme, sauf que les messages d'alerte sont differents...

73

Olivier

 

Share this post


Link to post
F1CLC
Posted (edited)
6 hours ago, F5PSR said:

"Votre connexion n'est pas privée.

Des individus malveillants tentent de subtiliser mes informations personnelles sur le site radioamateur.org...

NET: ERR_CERT_AUTHORITY_INVALID


Idem ici... 😕

Edited by F1CLC

Share this post


Link to post
F5CMQ

Je pense que la modification a été faite sur radiomateur.org. Merci aux admins et 73 à tous.
Jm

Share this post


Link to post
F6BHW

Bonjour,

Je confirme, f5cmq,  ce matin ça fonctionne parfaitement. (le problème avec Kaspersky a disparu) Un coup de Chapeau a l’équipe de « radioamateur.org » discrète et efficace (…) et a f4fqh pour avoir signalé ...

Merci 73 de Robert f6bhw

Edited by F6BHW
  • Message intéressant 1

Share this post


Link to post
F8DQL

Bonjour,

Une bibliothèque extérieure au site, mais utilisée, était corrompue.

Le souci a été corrigé hier soir.

73

  • Message intéressant 1
  • Merci ! 4

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...