Avast WEBforum

Non-English Zone => Francais => Topic started by: jffuchs on December 29, 2013, 02:56:02 PM

Title: Alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 02:56:02 PM
Bonjour,

Depuis qq heures (Jours ?) AVAST annonce avoir bloqué un cheval de troie lors de la visite des sites sont j'ai la gestion :
http://www.volavoile.net/
http://www.planeur.net/
http://www.netcoupe.net/

Ces 3 sites ont en commun la régie publicitaire qui est basé sur site OpenX, une solution très reconnue.

 -  J'ai scanné en local tous les fichiers de notre site Openx : RIEN
 -  Les 3 sites ont été scannés en ligne : RIEN 

AVAST semble annoncé une "fausse alerte" (!)

D'autres sites sont touchés par le meme pb : http://www.skipass.com/ , http://www.zapiks.com/

OpenX est utilisé par de nombreux sites web ..... d'autres usagers ont peut-etre deja contacté AVAST ?

Comment faire pour stopper cette fausse alerte ?

Merci,

Frederic
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: henri44 on December 29, 2013, 03:18:32 PM
hello,
aucun problème pour accéder à ces 5 sites, pas de blocage, aucune alerte,
cdt
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 04:00:07 PM
Bonjour,

Je confirme (malheureusement) la fausse alerte

http://planeur.phpnet.org/openads/
Infection :   JS:Redirector-BJB [Trj]

Version d'AVAST : 2014.9.0.2011

Salutations,

Frederic
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: henri44 on December 29, 2013, 04:22:28 PM
bizarre, c'est chez vous que le problème se situe !
quelle est votre config ? version avast: free ? dans les paramètres protection active aucune restriction ?
à titre info: VPS 131228-1
à suivre
ça passe toujours chez moi sans aucune alerte...
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: rhapsodie on December 29, 2013, 04:56:20 PM

a l'instant: 131229-0  ;)
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 05:00:47 PM
VPS 131229-0 avec AVAST version gratuite

D'autres personnes m'ont signalé le même soucis avec les 3 sites cités en premier.
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: henri44 on December 29, 2013, 05:49:41 PM
il ne reste plus qu'à inscrire les url de ces sites en exclusion dans la protection active, agent web,
à suivre...
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 06:18:15 PM
Y'aurait pas moyen de passer le mot a Mr AVAST ? ..... comment ?

Merci
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: rhapsodie on December 29, 2013, 07:19:10 PM
Y'aurait pas moyen de passer le mot a Mr AVAST ? ..... comment ?

Merci

je  crains que Avast  gratuit ne soit pas la priorité des développeurs , en ce qui me concerne j'attends toujours une réponse d'eux  pour un autre problème depuis un mois!!!!!! :D
mais bon vous pouvez essayer, par contre le lien de contact, je ne l'ai plus
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: henri44 on December 29, 2013, 07:31:46 PM
serais-je le seul parmi les intervenants à ne pas avoir de blocage sur les sites référencés au 1er post ?
cdt
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: rhapsodie on December 29, 2013, 07:40:37 PM
serais-je le seul parmi les intervenants à ne pas avoir de blocage sur les sites référencés au 1er post ?
cdt

je n'ai aucun blocage
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 07:49:19 PM
Not a false alarm.

hxxp://planeur.phpnet.org/openads/www/delivery/ajs.php?zoneid=7&target=_blank&block=1&cb=11813726291&loc=http%3A//www.volavoile.net/menu_top/menu_top_volavoile.net.htm&referer=http%3A//www.volavoile.net/planeur.phpnet.org/openads/www/delivery/ajs.php?zoneid=7&target=_blank&block=1&cb=11813726291&loc=http%3A//www.volavoile.net/menu_top/menu_top_volavoile.net.htm&referer=http%3A//www.volavoile.net/

returns

var OX_c1f304f7 = '';                                   
OX_c1f304f7 += "<"+"script>try{$a=~[];$a={___:++$a,$$$$:....

which is malicious script, injected in your vulnerable OpenX install.
(qui est un script malveillant injecté dans votre OpenX vulnérables installer)
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: rhapsodie on December 29, 2013, 07:55:30 PM
donc si je comprends bien ce sont les possesseurs  d'open x qui sont concernés
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 07:58:53 PM
Yes. The OpenX servers need to be updated and the malicious injects remediated.
(Oui. Les serveurs OpenX doivent être mis à jour et les injecte malveillants assainis.)
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: rhapsodie on December 29, 2013, 08:03:49 PM
merci
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 10:08:49 PM
Merci Kubecj,

Je n'ai pas réussi a reproduire l'alerte avec une autre anti-virus (j'ai essayé : http://urlquery.net/report.php?id=8607762 ou https://www.virustotal.com/fr/url/3cc2bb8852928497a3c3165bed56c55aea4bb52754c6b76fcc8453f93568bdfa/analysis/1388266428/)

J'utilise OpenX 2.8.10 et je n'ai trouvé aucun fichier qui avait subit une modification depuis janvier 2013 .....

Pourriez-vous me préciser quelle page est "infectée" ? (je n'ai rien trouvé dans ajs.php)

Un grand merci pour votre aide,

Frederic
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 10:38:52 PM
It seems nobody else is detecting it right now.
The code is most probably injected in OpenX database.

Look for such code:
Quote
try{$a=~[];$a={___:++$a,$$$$:(![]+\"\")[$a],__$:++$a,$_$_:(![]+\"\")[$a],_$_:++$a,$_$$:({}+\"\")[$a],$$_$:($a[$a]+\"\")[$a


(Il semble qu'aucun autre produit détecte dès maintenant.
Le code est probablement injecté dans la base de données OpenX.

Recherchez ce code:)
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 11:18:39 PM
Regarding this:
J'utilise OpenX 2.8.10 et je n'ai trouvé aucun fichier qui avait subit une modification depuis janvier 2013 .....

The last version of OpenX is 2.8.11, BUT! then it was renamed to Revive! And its latest version is 3.0.2. There was quite a bug in all versions before that, usable for SQL injection.

(La dernière version de OpenX est 2.8.11, MAIS! puis il a été rebaptisé Revive! Et sa dernière version est 3.0.2. Il était tout à fait d'un bug dans toutes les versions avant que, utilisables pour l'injection de SQL.)
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 11:28:02 PM
Thank you for your great help,

Can you please tell me how you find the malicious script that was injected in the database ?

3 lines where infected inside the table AUDIT (details ) et ZONES ("prepend" and "append")

The 3 websites work well .....

I tried to install the new version called Revive 3.0.2 it did not work well .....

Regards,

Frederic

Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 11:32:32 PM
Yes, append and prepend are usual places where the malicious code is inserted to. If I'm not mistaken, it seems your site is now clean.

I believe latest Revive fixes the bug:
http://www.revive-adserver.com/blog/revive-adserver-v3-0-2-released-important-security-fix/

Here's also the description of the bug and some fixes/workarounds for older OpenX:
http://www.kreativrauschen.com/blog/2013/12/18/zero-day-vulnerability-in-openx-source-2-8-11-and-revive-adserver-3-0-1/
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 11:40:09 PM
I will find a solution for an upgrade as soon as possible  :P

Can you please tell me how you find the malicious script that was injected in the database ? (your answer will help me for the futur)

Regards,

Frederic
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 11:43:42 PM
I have no idea, I was never on that side of the problem  8)

You can simply look at it in something like mysqladmin (if the SQL DB is mysql)
Or you can make text dump and then try to grep.
Or write some sql command using on append and prepend columns.
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 11:49:36 PM
Can you please tell me how you find the malicious script that was injected in the database ? (the "[]+\"\")[$a],__$:++$a,$_$_:(![]+\"\")[$a],_$_:++$a,$_$$" )

Thank you,
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: kubecj on December 29, 2013, 11:53:09 PM
It's our know-how as antivirus company to decide if some script is bad or not. We simply found strange redirection by some heuristic in avast, downloaded the samples, checked what they do, and decided to detect it. There is no general answer to such question, I'm afraid.
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jffuchs on December 29, 2013, 11:57:11 PM
ok, thank you for you great help ..... !

I renamed the title of the thread "Fause alerte cheval de troie (OpenX)" -> "Alerte cheval de troie (OpenX)" ;-)

Frederic
Title: Re: Alerte cheval de troie (OpenX)
Post by: mx_starter on January 02, 2014, 03:26:28 PM
It must be noted, that simply upgrading to revive 3.0.2 is NOT ENOUGH!!!
If your database has been sql-injected, you must clean it also:
1. stop the ad-server
2. remove all the files under /var/cache
3. The affected tables in mysql are named 'audit' and 'zones' (plus prefixes in front if you use them)
4. Open the admin panel and for each of the zones:
4.1. Click on the 'Advanced' tab and remove the malicious script from the prepend/append fields, then save the changes
4.2. For each of the zones, there would be a record in the 'audit' table cotaining the script in the 'details' field. Delete these records and you are fine - Avast should stop complaining anymore.
Title: Re: Fausse alerte cheval de troie (OpenX)
Post by: jefferson sant on January 07, 2014, 02:23:56 AM
It's our know-how as antivirus company to decide if some script is bad or not. We simply found strange redirection by some heuristic in avast, downloaded the samples, checked what they do, and decided to detect it. There is no general answer to such question, I'm afraid.

Problem solved
URL was unblocked

Thanks Kubecj.