:!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

:!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede citronpressé » 07 03 2016

:!:

Bonjour depuis ce matin avast me bloque l'accès à certaines page dont les urls de certaines ressources semblent subsitituées par le nom de domaine assiste.com...

Ce quel que soit le navigateur ( chrome, firefox, opéra ).

J'ai essayé de changer de connexion wifi au cas où cela vienne d'un forcing sur le DNS mais sans succès...

Avez-vous une idée de cette erreur ?

exemple en ouvrant une ressources qui n'a rien à voir avec assiste.com ( image distante , .jpg )

Image

Image


exemple avec assiste.com directement :

en naviguant sur assiste.com

Image

Ma question, pourquoi avast bloque assite.com , pourquoi assiste.com se substitue au path d'urls qui n ont rien àvoir, alors que je ne connaissais pas ce site avant ?

merci d'avance,
citronpressé
 
Messages: 2
Inscription: 07 03 2016

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede pierre » 08 03 2016

Bonjour citroncompressé et bienvenue,

Cela m'a été signalé dimanche 6, mais des indicateurs font remonter cela au 4.

Une enquête est en cours côté Avast. Mais, à mon avis, ce n'est pas de ce côté là qu'il faut chercher au vu de vos captures d'écrans.

Le site est volontairement entièrement en html pur de manière à n'avoir aucune emprise avec quelque technologie que ce soit (php, mysql, etc. ... bien qu'il y ait 15 pages en tout et pour tout en php, presque toutes dans le dossier " Qui êtes-vous - vos traces ") côté serveur (sauf apache). Enquête en cours.

Côté serveur, puisque c'est donc là que cela se passe, Assiste est sur un cluster mutualisé sur lequel se trouvent plus de 45.000 sites. Si l'un d'entre eux est pénétré, le hacker a accès à la totalité des sites du cluster. Assiste n'a pas les moyens de se payer un serveur dédié.

Votre première capture fait ressortir une URL en hxxp : // assiste.com/FR/ Il n'y a pas de répertoire /FR/ dans Assiste. Cela se fera un jour lorsque j'aurais les chevilles assez enflées pour traduire le site en anglais, allemand, russe, espagnol, portugais, chinois, japonnais, javanais, sanscrit, hiéroglyphe égyptien, spéculaire, et en aurobesh pour être bien lu dans toutes les galaxies de l'Univers par les siths et les jedi).

/FR/ n'existe pas. Ces pseudo liens sont donc créés à la volée. Il y a donc un hack côté serveur. Est-ce que vous avez une idée du contenu vers lequel vous êtes dirigé ? Cela pourrait orienter les recherches (éditeur de logiciels mécontent de nos avis sur ses produits, détournement, etc. ...).

Ce qui m'étonne est que je ne soit victime d'aucune de ces turpitudes du hack.

Firefox avec :

  • Adblock Plus augmenté de :
    • AntiSocial (Fanboy's Social Blocking List) contre l'une des plus grandes plaies du Web, les réseaux sociaux et leurs boutons !
    • EasyPrivacy - Liste additionnelle à Adblock Plus bloquant les serveurs de pur tracking (hors publicité) en plus de ceux de publicités.
    • Malwaredomains - Liste de domaines malveillants maintenue par une communauté d'internautes.
  • Decentraleyes
  • Ghostery
  • BetterPtivacy
  • NoScript
  • Blockulicious
  • Requestpolicy
  • Et quelques autres qui n'ont probablement rien à voir avec la protection de ma navigation.

On peut raisonnablement penser que le pirate évite, dans son hack, de servir un hack à l'éditeur du site hacké (pourtant je suis en IP à bail de 24 h, donc changeante tout le temps)

Merci beaucoup. Intervention extrêmement utile.

Cordialement

Pierre
Avatar de l’utilisateur
pierre
 
Messages: 22076
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede pierre » 08 03 2016

Bonjour,

Plusieurs modifications côté serveur.

Une remontée d'informations me serait utile.

Cordialement
Avatar de l’utilisateur
pierre
 
Messages: 22076
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede gandalf67 » 08 03 2016

Bonjour ,

Je viens de tenter de me connecter avec le même résultat "menace bloquée avast"

Je n'ai pas encore de retour d'avast à mon signalement .

Cordialement
gandalf67
 
Messages: 47
Inscription: 20 09 2006
Localisation: strasbourg

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede citronpressé » 08 03 2016

bonjour et merci de la réponse,

ce que je peux dire c'est que je suis sur un mutualisé OVH,

et que http://mondomaine.com/FR/Monimage.jpg , tout comme http://mondomaine.com/ par exemple déclenche une alerte http://assiste.com/FR/Monimage.jpg ou http://assiste.com/
ne parlons pas de naviguer directement sur assiste.com qui déclenche une alerte http://assiste.com/ bien sur

Ce aujourdhui encore,

J'ai pinguer nos domaines respectifs et ils ne semblent pas à ce jour mappés sur la même IP, donc peux-être pas le même serveur (quoi que).

controlant le contenu de mon serveur d'un point de vue code je peux affirmer qu'aucune ressources d' assiste.com n'y est embed , d'autant plus que j'ignorais l'existence d'assiste jusqu'à ce problème.

Âpres un coup de http://hostadvice.com sur assiste.com , je constate que vous êtes aussi sur OVH, y aurait il un problème de configuration critique chez eux ? ( DNS , blacklist ...).

Je sais pas si tout les utilisateurs d'avast seront affectés de la même manière, mais là je crains une baisse du traffic flagrant dans mes stats.
citronpressé
 
Messages: 2
Inscription: 07 03 2016

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede pierre » 08 03 2016

Re,

J'ai toujours l'idée d'un problème sur un autre site que le mien, mais hébergé sur le même serveur (le même cluster - même IP).

Mais il y a aussi cette possibilité : attaquer Assiste en lui faisant obtenir une mauvaise réputation. Assiste sera ainsi bloqué par les divers filtres du Web.
Ça commence avec Avast et un plugin de SNORT.

Webmasters : Tests (gratuits) de vos sites
SiteGuarding Scanner


Test d'une URL
Comodo Web Inspector
Pour assiste : https://app.webinspector.com/public/reports/50680103

Quttera
Pour assiste : http://quttera.com/detailed_report/assiste.com

Reçu ce courriel en réponse à une requête en enquête de ma part auprès d'un outil (Autoshun - autour de SNORT - Pannel VirusTotal) :

Pierre,

Suspicious ratings are issued for hosts that are on the same IP address as
a known malware or phishing site, or in an IP address range that has a
history of frequently hosting malicious content. It's likely that your
website is on a shared hosting environment with many other customers.
Suspicious ratings do not count as a detection on VirusTotal (see attached
screenshot which says 0/67 detections) but this is an indicator of a risk
factor that we've identified.

It looks as if there are or recently were a number of malware pages hosted
on the same shared IP as your website. These are likely beyond your
control.

<https://riskanalytics.com/>

*Noah Dunker*Director of Security Labs


Cordialement

Pierre
Avatar de l’utilisateur
pierre
 
Messages: 22076
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede gandalf67 » 09 03 2016

Salut à tous ,

Je ne sais pas pour vous mais chez moi tout est redevenu normal , je peux à nouveau
me connecter sur assiste sans soucis :)
J'ignore si il s'agissait d'un hack mais en tous cas ça fait plaisir de retrouver assiste
sans qu'avast ne s'en mêle !!!
gandalf67
 
Messages: 47
Inscription: 20 09 2006
Localisation: strasbourg

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede pierre » 09 03 2016

Bonjour,

En fait, il y a deux évènements simultanés :

Un manifeste faux positif d'avast.
Une attaque très subtile d'Assiste visant à lui donner mauvaise réputation en infiltrant des sites sur le cluster hébergeant Assiste.

Le cas Avast
J'ai en tête une remarque de quelqu'un d'extrêmement respectable, Falkra, administrateur du Forum Libellules
Il disait, en substance, il y a deux ou trois ans, à propos d'Avast qui, pour remonter son image assez mauvaise, développe des gadgets dans tous les sens : " Ils ne savent plus quoi faire. Bientôt la défragmentation d'un fichier en même temps que son analyse !"
J'avais ouvert un ticket chez Avast pour savoir de quoi il retourne à propos de ce blocage.

Réponse :
Monsieur,
avast detecte un script malveillant (jquery-1.7.1.js) dans le dossier "javascripts" de ce site. C´est aussi pourquoi le WebRep le reporte comme un site a probleme.
Cordialement
David Podracky
équipe de support Avast


Ma réponse :

Bonjour David,

Hum...

jQuery est une bibliothèque JavaScript libre et multi-plateforme.
Cette bibliothèque est utilisée dans des millions de sites.
https://fr.wikipedia.org/wiki/JQuery

Puisque la bibliothèque est multi-plateforme, nous la faisons analyser sous Windows, Linux et freeBSD

Une analyse VirusTotal de la version jquery présente sur mon site, à l'instant, donne un ratio 0/56 (y compris avast)
https://www.virustotal.com/fr/file/9fcc ... 457536008/

Analyse Metadefender (metascan) - Rien trouvé
https://www.metadefender.com/#!/results ... 9b/regular

analyse Jotti (AV en versions linux) - Rien trouvé
https://virusscan.jotti.org/fr-FR/searc ... a9e35f8806

Analyse VirScan (dont Avast) - Rien trouvé
http://r.virscan.org/report/b51047d11e8 ... e0d2b94d9e

Analyse 4 AV en version freeBSD - Rien trouvé
http://www.garyshood.com/virus/results. ... bdee173a1e

analyse vicheck - Rien trouvé
https://www.vicheck.ca/md5query.php?has ... bdee173a1e

D'autre part vous avez porté gravement atteinte à ma Web Réputation. En particulier WOT rapporte votre faux positif ce qui me porte gravement atteinte.

Quelques tests de Web Réputation:
http://www.urlvoid.com/scan/assiste.com/ (agrégation de 26 services de Web réputation). Zéro problème.
http://www.webutation.net/go/review/assiste.com (agrégation de 5 services de Web réputation, donc Wikipedia). Zéro problème.
https://www.virustotal.com/fr/url/46a43 ... 457299499/ : ratio de détection : Zéro problème sur 67 services de Web réputation
https://safeweb.norton.com/report/show?url=assiste.com Zéro problème.
https://www.google.com/transparencyrepo ... ssiste.com Zéro problème.
https://yandex.com/infected?l10n=fr&url ... 57302971.1 Zéro problème.
http://hosts-file.net/default.asp?s=assiste.com (les listes noires de Malwarebytes) Zéro problème.
http://quttera.com/detailed_report/assiste.com Zéro problème.
http://www.siteadvisor.com/sites/assiste.com Zéro problème.
http://www.avgthreatlabs.com/fr-fr/webs ... ssiste.com Zéro problème.
Etc. ... Je puis en faire 40 ou 60 comme ceux là.

Que pensez-vous faire pour Assiste, à part la correction du faux positif dans vos bases de données.

Pierre Pinard
http://assiste.com
Sécurité et vie privée sur le Web


Je continue de regarder du côté de l'attaque.

Bonne journée à tous et merci de suivre Assiste.

Pierre
Avatar de l’utilisateur
pierre
 
Messages: 22076
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede pierre » 10 03 2016

Réponse laconique d'Avats :

Monsieur,
en effet. Merci de nous avoir averti. Il s´agissait en ce cas de fausse detection de la part d´avast, pour laquelle nous nous excusons. Cette detection vient d´etre corrigee.

Cordialement

David Podracky
Avatar de l’utilisateur
pierre
 
Messages: 22076
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: :!: ALERTE FAUX POSITIF AVAST et ATTAQUE Assiste.com !!

Messagede gandalf67 » 14 03 2016

Bonjour Pierre ,
Absent ce week end je viens de constater que j'avais eu mots pour mots la même
réponse effectivement trés laconique d'Avast !
Heureusement que tout est rentré dans l'ordre en tous cas
Bonne journée
gandalf67
 
Messages: 47
Inscription: 20 09 2006
Localisation: strasbourg

Suivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités