e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


En lisant un billet sur l'ISC SANS, concernant les sites compromis et utilisés à leur insu pour servir comme boutique spéciale Viagra et autres trucs du genre, j'ai eu le réflexe algérien de voir du côté national.

Alors je prend la même requête pour le domaine DZ, une main sur mon coeur et l'autre sur le visage, pour ne pas voir etebehdila qui m'attend, j'appui sur enter :"buy viagra site:dz filetype:html"

Et là Ô surprise ... un seul résultat : la Radio Régionale de Constantine Cirta FM ... Hchouma aalikoum ya ness Ksentina .... c'est pas sérieux tixx :)

Voyons de plus près ce que vend vraiment Cirta FM : hxxp://www.radio-constantine.dz

Déjà Google nous sorts les drapeaux rouges, pour lui, ce site contient 17 trojans, 6 exploits et 4scripting exploits ... rien que ça !!

On récupère la page d'accueil avec wget (pour éviter d'exécuter le script par le navigateur), et là on peut voir les codes malicieux (je l'ai mis en image parce que le code peut faire crier certains Antivirus) :


Pour ceux intéressés par le décodage de ces script obfusqués, essayez ce que propose les pages du SANS ISC. D'après ce que j'ai vu, les sites d'exploits en question n'existent plus mais soyez prudents quand même....j'ai pas vraiment beaucoup creusé l'analyse.

.

5 commentaires

  1. tixxdz  

    Salam,

    Hchouma kbira, je vais essayer d'envoyer un mail.

    Merci pour le trick.

  2. SecDZ - Salah Nadir  

    @tixx : c'est le mail ne fait rien ... développe un patch nmap spécial CirtaFM :)

  3. martani_net  

    Malheureusement, même des professionnels (_site_wikipedia_source_here_) de la sécurité en Algerie ont eu pas mal de malware sur leurs serveurs

  4. SecDZ - Salah Nadir  

    @martani_net : Je sais, il y a plein de domaine dz compromis ... mais quand on est le seul à vendre du viagra ... ça mérite des éloges :)

  5. tixxdz  

    Et bien j'ai envoyé deux mails, j'ai pas eu de réponse! => alors je ne sais même pas si leur formulaire marche ou si leur adresse mail reçoit des emails!!! ... bref c'est simple: les utilisateurs doivent bouder ce site de Cirta.

    @martani_net: on ne peut pas appeler ces gens professionnels!!, car ces truc d'injection c'est facile a prévenir, dans cet exemple c'est vraiment des trucs de noob et c'est la cas de la plupart des sites algériens.

    "Radio Régionale de Constantine Cirta FM radio-constantine virus spyware malware"

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)