Poll

Faux positif ?

Pouvez-vous régler ce problème ?
0 (0%)
Pouvez-vous débloquer mon site ?
1 (100%)

Total Members Voted: 0

Author Topic: Faux positif ?  (Read 3629 times)

0 Members and 1 Guest are viewing this topic.

Offline Bartlebooth

  • Newbie
  • *
  • Posts: 4
Faux positif ?
« on: February 19, 2013, 05:43:50 PM »
Bonjour,

Hier pendant toute la journée, après une mise à jour d'avast!, mon site http://www.cynthia3000.info/ a été bloqué par avast! qui y trouvait un malware.
Il a finalement été débloqué en toute fin de journée.
Aujourd'hui, nouvelle mise à jour : mon site est à nouveau bloqué...
Je ne comprends pas... Ce problème nous a été signalé par de nombreux clients et lecteurs...
Les scanneurs en ligne disent tous que mon site est propre :

https://www.virustotal.com/fr/url/afb59b55b95a4d164c504253d938ea7bc45b7f224c13e018da203c0b837fb4f2/analysis/1361284462/
http://www.urlvoid.com/scan/cynthia3000.info
http://quttera.com/detailed_report/www.cynthia3000.info
http://urlquery.net/report.php?id=1042393

Merci pour votre aide.

Offline spywar

  • Malware Hunter
  • Poster
  • *
  • Posts: 441
Re: Faux positif ?
« Reply #1 on: February 19, 2013, 07:24:43 PM »
Bonsoir Bartlebooth,

Veuillez contact le virus lab une nouvelle fois en expliquant votre problème
http://www.avast.com/fr-fr/contacts
cliquer en bas de la page "Contact Principal
Dans Sujet/Thème "Signaler une fausse alerte dans un site Web".

spywar.

Offline Bartlebooth

  • Newbie
  • *
  • Posts: 4
Re: Faux positif ?
« Reply #2 on: February 19, 2013, 11:14:29 PM »
Bonsoir spywar,

Merci pour votre réponse.
Je l'avais déjà fait en anglais il y a 10h.
Je l'ai refait en français après votre message, il y a donc près de 6h.
La situation est toujours la même et pas de réponse...
Deux jours entiers d'inaccessibilité pour mon site, ça commence à faire long...
Nous verrons ce qu'il en sera demain.
Bien à vous,

Bartlebooth

Offline spywar

  • Malware Hunter
  • Poster
  • *
  • Posts: 441
Re: Faux positif ?
« Reply #3 on: February 19, 2013, 11:21:07 PM »
Cela peut prendre un petit moment (court certes mais bon) si cela n'est pas fixé dès demain je verrais (je contacterais un analyste directement par MP).

Offline Bartlebooth

  • Newbie
  • *
  • Posts: 4
Re: Faux positif ?
« Reply #4 on: February 19, 2013, 11:34:48 PM »
Cela vient juste de redevenir accessible...
Je vais maintenant craindre la prochaine mise à jour d'avast!... à moins qu'on me réponde que le site est dé-blacklisté.
Merci pour votre proposition.

Bartlebooth

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33061
  • malware fighter
Re: Faux positif ?
« Reply #5 on: February 19, 2013, 11:39:37 PM »
Le résultat de l'analyse: http://zulu.zscaler.com/submission/show/c70c3e914c634d4e2bbd7eb6b90e3da6-1361312474 (70-100% suspect)
Autrement: https://www.virustotal.com/en/url/afb59b55b95a4d164c504253d938ea7bc45b7f224c13e018da203c0b837fb4f2/analysis/
Problèmes avec site ici -le script de stats:
Code: [Select]

//** doc​ument.write ('< img src="htxp://www.direct-stats.com/logs/cynthiatroismille/zr6v6Yx9L8Qtv02/marqueur.php?page=' ​_page​ '&n='​ Math.round (Math.random () * 1000000000000000)​ '&reso_w='​ scr_w​ '&reso_h='​ scr_h​ '&color='​ color​ '&referer='​ ref​'" style="border:0px;" /> ');

\n
et avec "Content after the < /html> tag should be considered suspicious".
 
Code: [Select]
< !-- 1361312931 --> Web application version:
Joomla Version 1.0.9 to 1.0.11 for: -http://www.cynthia3000.info//includes/js/joomla.javascript.js
Joomla version outdated: Upgrade required -> La mise à niveau vers Joomla est nécessaire...

polonus
« Last Edit: February 19, 2013, 11:50:57 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline Bartlebooth

  • Newbie
  • *
  • Posts: 4
Re: Faux positif ?
« Reply #6 on: February 20, 2013, 12:14:45 AM »
Merci Polonus pour ces détails.
J'ai retiré la ligne de code concernant direct-stats.
Pour le "content after the </html> tag", je ne sais pas trop à quel fichier m'en prendre...
Pour la version de Joomla, faire une mise à jour impliquerait de se consacrer à une refonte totale du site, certains des composants de la version utilisée n'existant probablement plus pour la nouvelle version. Je n'ai malheureusement pas un mois devant moi pour le faire. Mais je ne comprends pas en quoi le fait d'utiliser une vieille version rend le site suspect d'office.

Bartlebooth.

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33061
  • malware fighter
Re: Faux positif ?
« Reply #7 on: February 20, 2013, 12:41:44 AM »
Bonsoir Bartlebooth

Encore l'analyse supplémentaire de Quttera pour "Potentially Suspicious files: 1, c'est ca:..../includes/js/overlib_hideform_mini.js
Re ici: http://quttera.com/detailed_report/www.cynthia3000.info#ReportTabPotSusp
Pour checker si des fichiers ont été modifiés: Procedure: + has been called with a string containing hidden JavaScript code <script>\n<!--\n0\n//-->\n</script>
Regardez vous meme: http://aw-snap.info/file-viewer/?tgt=http%3A%2F%2Fcynthia3000.info%2Fincludes%2Fjs%2Foverlib_hideform_mini.js&ref_sel=Google&ua_sel=ff

polonus
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33061
  • malware fighter
Re: Faux positif ?
« Reply #8 on: February 21, 2013, 01:37:49 PM »
Rien est bloqué par avast maintenant,

polonus
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!