Bonjour,
Je suis un nouvel utilisateur de Moodle et je suis aujourd'hui très étonné de voir apparaître une publicité dans une page d'un cours. Celle-ci apparait en cliquant sur un lien hypertexte que je n'avais pas vu auparavant : "VOTRE PROGRESSION". Cela est-il normal ?
Merci de votre aide
Je viens de trouver dans l'entete du cours un script visible avec l'éditeur HTML. Je n'ai pas entré ce code... comment cela est-il possible ?
Bonjour,
Ce fait n'est pas lié à Moodle mais certainement au piratage d'un service du serveur hébergeant Moodle.
Si vous dépendez d'un service informatique institutionnel, il faut prendre rapidement contact avec les personnes gérant cette machine.
Jérôme.
Merci Jérôme pour cette réponse ! Le site est hébergé chez OVH. Je viens de m'apercevoir que l'antivirus disponible dans Moodle, menu Sécurité de l'administration, n'était pas activé. Toutefois, il est demandé un chemin d'accès au logiciel Clam AV (/usr/bin/clamdscan) que je ne retrouve pas sur le serveur (serveur dédié).
Malheureusement, ici l'antivirus ne sera d'aucune utilité. Il agit sur les fichiers déposés. Là on a plutôt affaire à un internaute qui a réussi à insérer du code malveillant sur votre espace OVH.
Peut-être via une mauvaise configuration du fichier .htaccess, ou par l'intermédiaire d'une autre application (joomla, blog, messagerie ...)
Dans le plus pessimiste des cas et sans un minimum d'expérience, il ne sera pas facile de l'éradiquer sans passer par une remise à zéro de tous les éléments.
Jérôme.
PS: les solutions anti-virales chez les hébergeurs sont généralement toujours proposées en surcoût de la solution choisie.
Merci encore pour ces info mais que signifie "une remise à zéro de tous les éléments" ? Quels éléments ?
Suppression de tous les répertoires d'installation chez OVH, puis réinstallation propre de toutes les applications utilisées.
Sans compter le nettoyage des bases de données (éliminations des scripts cachés dans les enregistrements) et des répertoires de données (fichiers contaminés).
Bonjour,
il y a vraiment un script malveillant inséré dans votre code html ? Vous retrouvez celui ci quelque soit l'ordinateur ou le navigateur que vous utilisez ?
Car à voir votre copie d'écran, je pencherais plutot pour une infection de votre poste informatique : un spyware type babylon toolbar (j'ai rencontré un cas similaire il y a peu, sur le poste de qq qui avait installé un logiciel gratuit).
Bonne fin de journée,
Jean-Baptiste
Le script malveillant était inséré dans le texte des entetes de cours (la Section avant Section 1) ; il n'était visible qu'en éditant le code source HTML du texte. J'ai donc tout supprimé manuellement.
J'ai ensuite installé un antivirus sur le serveur et fait une recherche de virus. Rien n'a été détecté. Donc je pense comme vous qu'il s'agissait d'un spyware.
Pour l'instant rien n'est réapparu... A suivre (de près !)
Bonsoir,
je me suis mal exprimé : je pense que c'est votre poste client qui est infecté, pas le serveur. Aviez-vous observé le même comportement sur un autre poste informatique que le poste client que vous avez utilisé pour la capture ? À mon avis, un scan avec les logiciels d'anti-malware/spyware s'impose sur le poste client.
Bonne soirée,
Jean-Baptiste
Bonjour, j'avais bien compris mais je n'avais pas encore vérifié si cela concernait un ou plusieurs postes... C'est fait, et vous avez raison, cela ne concerne qu'un seul poste (le mien) et la pub est réapparu cette fois dans l'annonce "Ce formulaire comprend des champs requis, marqués" qui se trouve en bas d'une page d'édition.
L'analyse anti-malware/spyware est en cours... Je vous donnerai le résultat pour info.
Merci encore
Et bien voilà de quoi il s'agissait : un adware qui n'en est pas vraiment un et qui se nomme Text-Enhance. Pour ma part, la pub ne s'affichait que sur le navigateur Firefox et que dans Moodle mais il est possible que cela touche les autres navigateurs (IE, Chrome, etc.).
On trouve de nombreux topics traitant de ce sujet sur internet mais les deux ressources qui m'ont semblaient les plus sérieuses et qui ont fonctionnaient sont :
- le forum de Kaspersky (mon antivirus qui ne le détecte pas !) : http://forum.kaspersky.com/index.php?showtopic=240249&hl=text-enhance
- un site en anglais qui donne les procédures pour chaque navigateur : http://botcrawl.com/how-to-remove-text-enhance/
Sujet clos ! Merci à tous
Bonjour Monsieur,
Ce problème concerne la plateforme Moodle de votre établissement/organisation, et il nous est impossible de répondre à votre question. Veuillez vous adresser à l'administrateur de votre plateforme locale.
