Malware CocoaCafé

iLandesiLandes Membre
mars 2015 modifié dans Coin canapé & détente #1

Salut à  tous


 


Ce matin en me rendant sur le site via la recherche sur google de la barre de navigation de Safari et en cliquant sur le lien proposé par Google ; par deux fois je me suis vu rédige vers un site porno AdultPorn et sur url4XXXshort.infoXXX/9770a4edXXX


 


Nota j'ai rajouté des XXX à  l'url pour pas que mon post serve à  alimenter les moteurs de recherche avec l'url des emmmerprirateurs.


 


Pb chez google ou ailleurs...


Mots clés:
«13

Réponses

  • DrakenDraken Membre
    mars 2015 modifié #2

    Cela m'est arrivé il y a 2 semaines. Après une recherche google sur NSAttributedString je suis tombé sur un lien de Cocoacafé menant en fait à  un site porno !


  • AlakAlak Membre

    pareil il y a quelques semaines


  • muqaddarmuqaddar Administrateur

    A quel moment êtes-vous redirigé ?


    Quel type de recherche faites-vous ?


  • samirsamir Membre

    ça m'est arrivé plein de fois et le hic est que ma copine a vu que j'ai visité un site ......  :).


     


    moi ça m'est arrivé de taper cocoaCafé sur google, je clique sur le premier lien et up. 


     


    Edit : ça m'est arrivé à  l'instant même. 




  • ça m'est arrivé plein de fois et le hic est que ma copine a vu que j'ai visité un site ......   :).




    Pas de bol !

  • CéroceCéroce Membre, Modérateur

    Je viens d'essayer et je confirme.


    Par exemple, je recherche "xcode tests unitaires injectés".


    Le deuxième résultat correspond à  un sujet ici, mais renvoie effectivement vers un site porno.


  • yoannyoann Membre
    Effectivement, la recherche avec "xcode tests unitaires injectés" m'a renvoyé sur un site de cul au premier clic mais pas les fois suivantes.

     

     


    En faisant le test sur un autre navigateur (ou j'imagine en supprimant les cookies) le problème revient.

     

    Le lien Google semble OK.

     

    Je penche plus pour un js foireux chargé avec le site.

  • muqaddarmuqaddar Administrateur


     


    Je penche plus pour un js foireux chargé avec le site.

     




     


    Tu veux dire une faille dans un JS du site ?

  • muqaddarmuqaddar Administrateur
    mars 2015 modifié #10

    Je viens déjà  de faire la mise à  jour vers 3.4.7. C'est déjà  ça.


    + une mise à  jour de sécurité.




  • Tu veux dire une faille dans un JS du site ?




     


    Je pense plus à  du XSS stocké.

  • fait une recherche dans la BDD avec le mot clef script pour voir si tu ressors pas un truc louche.


  • muqaddarmuqaddar Administrateur


    fait une recherche dans la BDD avec le mot clef script pour voir si tu ressors pas un truc louche.




     


    Dans les posts, il m'a rien trouvé.

  • "xcode tests unitaires injectés"


    Pas de site de cul pour ma part. Test réalisé à  20h28


  • DrakenDraken Membre
    mars 2015 modifié #15


    "xcode tests unitaires injectés"


    Pas de site de cul pour ma part. Test réalisé à  20h28




    Idem. Test effectué à  20h33 !


    La mise a jour du serveur en 3.4.7 a probablement tué le parasite publicitaire.


     


    Quoi que ! Je viens de voir une image porno. Ah non, autant pour moi, c'est juste l'avatar de Rocou !

  • J'ai plus ce problème aussi. Merci


  • muqaddarmuqaddar Administrateur

    Je n'avais pas remarqué le problème.


    Je ne risquais pas de le corriger ! :-)


  • Ce n'est pas fini !


    En faisant la recherche google "tirage aléatoire CGFloat"je suis tombé sur un lien CocoaCafé (voir image), menant à  un site porno. c'était il y a moins de 5 minutes !


     


     


  • Ce n'est pas fini !


    En faisant la recherche google "tirage aléatoire CGFloat"je suis tombé sur un lien CocoaCafé (voir image), menant à  un site porno. c'était il y a moins de 5 minutes !


     


    Lien : Random "pas si random que ça"


     


    Un indice possible : les 2 fois que cela m'est arrivé c'était sur des liens datant de 2009.


     


  • muqaddarmuqaddar Administrateur

    Pas simple cette histoire.


    D'autant qu'en 2009, j'utilisais encore SMF comme moteur de forum.


  • Devinez ? Un de plus .. Cette fois-ci sur un lien datant de 2014 !


     


  • Si ça peut aider, il redirige vers ce lien : http://url4short.info/9770a4ed


  • muqaddarmuqaddar Administrateur


    Si ça peut aider, il redirige vers ce lien : http://url4short.info/9770a4ed




     


    Merci.


    En tout cas, les liens ne sont pas stockés dans la base à  première vue.

  • MalaMala Membre, Modérateur



    Moi qui pensais que tu arrondissais tes fins de mois en donnant dans le X, je suis déçu! Un mythe s'effondre!  ;D


     


    Bon courage pour la purge. J'espère que tu ne galèreras pas trop.  :p

  • muqaddarmuqaddar Administrateur
    mars 2015 modifié #26

    J'ai du mal à  piger quand-même.


    J'ai remplacé tous les fichiers par la dernière version récemment et la MAJ de sécurité, ce qui aurait dû éradiquer le problème. J'ai aussi reconstruit tout le cache.


  • AliGatorAliGator Membre, Modérateur
    Après c'est peut-être juste le cache de Google ?!
  • muqaddarmuqaddar Administrateur
    mars 2015 modifié #28


    Après c'est peut-être juste le cache de Google ?!




     


    J'y ai pensé, mais je trouve que ça traà®ne un peu...?


    Et je ne suis pas sûr que le cache de Google soit en cause puisque Google a toujours pointé vers la bonne URL...


  • SmySmy Membre

    J'arrive à  le reproduire sur " Swift NSAttributedString cocoacafé " dans google, en supprimant tous les cookies.


     

    Le résultat des échanges http donne les lignes suivantes, et c'est à  partir de ads.cpxinteractive.com que ça part en redirection.

     



    http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CDQQFjAC&url=http%3A%2F%2Fforum.cocoacafe.fr%2Ftopic%2F13247-swift-nsattributedstring%2F&ei=enQdVa7lLJTwaKXNgLgH&usg=AFQjCNFIpLa1tTVzseCMdHbfK7M7lB_XdA

    GET /url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CDQQFjAC&url=http%3A%2F%2Fforum.cocoacafe.fr%2Ftopic%2F13247-swift-nsattributedstring%2F&ei=enQdVa7lLJTwaKXNgLgH&usg=AFQjCNFIpLa1tTVzseCMdHbfK7M7lB_XdA HTTP/1.1
    Host: www.google.fr
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:36.0) Gecko/20100101 Firefox/36.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Cookie: PREF=ID=0edceb1eb4237600:FF=0:TM=1427993798:LM=1427993798:S=WCcN0rQtRDfYJQRH
    Connection: keep-alive

    HTTP/1.1 200 OK
    Date: Thu, 02 Apr 2015 16:56:46 GMT
    Pragma: no-cache
    Expires: Fri, 01 Jan 1990 00:00:00 GMT
    Cache-Control: no-cache, must-revalidate
    Content-Type: text/html; charset=UTF-8
    Content-Encoding: gzip
    Server: gws
    Content-Length: 285
    X-XSS-Protection: 1; mode=block
    Alternate-Protocol: 80:quic,p=0.5 http://forum.cocoacafe.fr/topic/13247-swift-nsattributedstring/

    GET /topic/13247-swift-nsattributedstring/ HTTP/1.1
    Host: forum.cocoacafe.fr
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:36.0) Gecko/20100101 Firefox/36.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CDQQFjAC&url=http%3A%2F%2Fforum.cocoacafe.fr%2Ftopic%2F13247-swift-nsattributedstring%2F&ei=enQdVa7lLJTwaKXNgLgH&usg=AFQjCNFIpLa1tTVzseCMdHbfK7M7lB_XdA
    Connection: keep-alive

    HTTP/1.1 200 OK
    Server: nginx
    Date: Thu, 02 Apr 2015 16:56:46 GMT
    Content-Type: text/html;charset=UTF-8
    Transfer-Encoding: chunked
    Connection: keep-alive
    Cache-Control: no-cache, must-revalidate, max-age=0
    Expires: Wed, 01 Apr 2015 16:56:46 GMT
    Pragma: no-cache
    Content-Encoding: gzip
    Vary: Accept-Encoding
    Set-Cookie: session_id=08317825b95ea1a289be5c2b824a958a; path=/; domain=.cocoacafe.fr; httponly
    Set-Cookie: modpids=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.cocoacafe.fr http://forum.cocoacafe.fr/index.php?s=08317825b95ea1a289be5c2b824a958a&app=core&module=task

    GET /index.php?s=08317825b95ea1a289be5c2b824a958a&app=core&module=task HTTP/1.1
    Host: forum.cocoacafe.fr
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:36.0) Gecko/20100101 Firefox/36.0
    Accept: image/png,image/*;q=0.8,*/*;q=0.5
    Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://forum.cocoacafe.fr/topic/13247-swift-nsattributedstring/
    Cookie: session_id=08317825b95ea1a289be5c2b824a958a
    Connection: keep-alive

    HTTP/1.1 200 OK
    Server: nginx
    Date: Thu, 02 Apr 2015 16:56:47 GMT
    Content-Type: image/gif
    Transfer-Encoding: chunked
    Connection: keep-alive http://forum.cocoacafe.fr/index.php?ipbv=2d9ba5ba604250620846f6323756b2be&g=js

    GET /index.php?ipbv=2d9ba5ba604250620846f6323756b2be&g=js HTTP/1.1
    Host: forum.cocoacafe.fr
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:36.0) Gecko/20100101 Firefox/36.0
    Accept: */*
    Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://forum.cocoacafe.fr/topic/13247-swift-nsattributedstring/
    Cookie: session_id=08317825b95ea1a289be5c2b824a958a
    Connection: keep-alive

    HTTP/1.1 200 OK
    Server: nginx
    Date: Thu, 02 Apr 2015 16:56:47 GMT
    Content-Type: text/html
    Transfer-Encoding: chunked
    Connection: keep-alive
    Vary: Accept-Encoding
    Set-Cookie: session_id=08317825b95ea1a289be5c2b824a958a; path=/; domain=.cocoacafe.fr; httponly
    Set-Cookie: lang_id=en; expires=Fri, 03-Apr-2015 02:56:47 GMT
    Content-Encoding: gzip http://ads.cpxinteractive.com/ttj?id=1183036&size=728x90

    GET /ttj?id=1183036&size=728x90 HTTP/1.1
    Host: ads.cpxinteractive.com
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:36.0) Gecko/20100101 Firefox/36.0
    Accept: */*
    Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://url4short.info/9770a4ed
    Connection: keep-alive

    HTTP/1.1 302 Found
    Cache-Control: no-store, no-cache, private
    Pragma: no-cache
    Expires: Sat, 15 Nov 2008 16:00:00 GMT
    P3P: policyref="http://cdn.adnxs.com/w3c/policy/p3p.xml", CP="NOI DSP COR ADM PSAo PSDo OURo SAMo UNRo OTRo BUS COM NAV DEM STA PRE"
    X-XSS-Protection: 0
    Location: http://ib.adnxs.com/ttj?id=1183036&size=728x90
    Content-Type: text/html; charset=utf-8
    Date: Thu, 02 Apr 2015 16:56:47 GMT
    Content-Length: 0

  • muqaddarmuqaddar Administrateur

    Est-ce que tu sais si la redirection a lieu si ton cookie cocoacafe.fr est supprimé ?


  • muqaddarmuqaddar Administrateur

    http://ads.cpxinteractive.comsemble être un malware connu.


Connectez-vous ou Inscrivez-vous pour répondre.