redirection malveillante sur le forum

[bigjam]

Bonjour,

 

Depuis quelque temps quand je viens sur votre forum à partir des résultats de Google, je suis redirigé vers un site malveillant (contenant de fausse mise a jour du plugin flash) :

 

filestore321_dot_com/download.php?id=b1864739

 

ps: remplacer le _dot_ par un point pour avoir l'url exact

 

Ca se produit uniquement lors de la première visite.

Si j’efface les cookies ca recommence.

 

J’ai constaté la même chose sur d’autre forum, dont celui de nextinpact.com.

 

J’ai d’abord pensé à une infection de ma machine.

 

Ne trouvant rien, j’ai testé avec 3 ordis différents avec des systèmes différents. (Win XP, Win 7, Mac OS X)

Résultat toujours la même redirection.

 

J’ai alors essayé de trouver la source de cette redirection sur votre forum.

Et je crois avoir trouvé le script responsable :

 

            forum.frandroid.com/index.php?ipbv=1565b137b673945949f6ac8475880cc3&g=js

 

En bloquant uniquement ce script la redirection s’arrête.

 

Il semblerait que votre CMS de forum Invision Power Board a été compromis.

 

(nextinpact.com qui est également touché, utilise le même CMS de forum)

 

Encore une fois, ca se produit uniquement depuis les résultats de recherche, la première fois, et sur certain forum IP.Board.

 

En fouillant sur le net, j’ai trouvé un site anglophone qui analyse une attaque similaire sur IP.Board qui c’est produite y a 2 ans :

 

            http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

 

Il explique comment trouver le javascript injecté dans les scripts PHP pour pouvoir nettoyer le forum.

 

Si ca peut servir au admin pour résoudre le problème…

 

Cordialement.

[indian65]

Merci beaucoup, on transmet aux admins.

[indian65]

Je tiens à te remercier encore une fois, avec ton alerte, on a en effet trouver une faille, on est en train de réparer.

Merci encore.