Comme vous avez pu le remarquer et comme certains membres l'ont signalé, les anti-virus s'affolaient au chargement de la page d'accueil du site


Après avoir exploré tous nos fichiers, et remarqué une petite anomalie, nous avons contacté notre hébergeur qui nous a fourni une explication : le site a donc été victime d'une intrusion et un code malveillant avait été inséré dans le code source de la page d'accueil. Ce qui explique que vos logiciels antivirus vous signalaient, à juste titre, une menace potentielle.

Le fichier a donc été modifié, tous les mots de passes ont donc été changés. Je vous invite vivement à faire une analyse complète de votre ordinateur pour vous assurer qu'il n'est pas infecté. A ce jour, il n'existe plus aucune menace sur le site et si votre antivirus vous en signale quand même, il serait judicieux de vider le cache de votre navigateur

Merci à tous de votre compréhension et de votre fidélité à Manchester Devils !

Voici quelques extraits du mail reçu de notre hébergeur en réponse à notre demande :

Bonjour,

A la suite d'une mise à jour récente d'un de nos outils, en liaison avec nos

bases de données LDAP, une faille a été détectée qui permettait, dans certains

cas spécifiques, d'accéder à la console d'administration sans connaître le mot

de passe habituellement nécessaire.

Nous avons immédiatement corrigé ce défaut de fonctionnement et avons, par

sécurité, remplacé les mots de passe qui auraient potentiellement pu être

utilisés, remplacés ou connus.

Lors de cette intrusion, un compte FTP "*******" a été créé depuis votre

console d'administration :

Le fichier suivant a été modifié :

/var/log/xferlog.3.gz:Fri Feb 04 08:47:59 2011 0 ::ffff:94.100.31.74 2669

/home/www/1b92b3d6b54477a4d360a8c82bd0c04a/web/index.php b _ o r manchester ftp

0 * c

/var/log/xferlog.3.gz:Fri Feb 04 08:49:24 2011 0 ::ffff:94.100.31.74 8495

/home/www/1b92b3d6b54477a4d360a8c82bd0c04a/web/index.php b _ i r manchester ftp

0 * c


Nous avons supprimé le bout de code suivant du fichier index.php :


[code malicieux qu'on va éviter de communiquer]



Le compte FTP frauduleux a été supprimé et le mot de passe du backup privé

changé.


Avec nos meilleures salutations.

____________________________________________________________________

Demande de support traitée par Alexandre Dubois



Diffusé par CashTrafic

Sur le forum