trop tard, hacké le 14 avril 2009 / nettoyage? trop tard, hacké le 14 avril 2009 / nettoyage?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

trop tard, hacké le 14 avril 2009 / nettoyage?

Started by angelik, May 20, 2009, 03:21:00 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

angelik

bonjour,

lorsque je mettais j'envoyer des lines de ma galerie dans des messages coppermine, j'ia remarqué un texte qui apparaissait et qui n'etait pas de coppermine ni de moi.

je me doutais qu'il y aviat un truc qui n'était pas normal...
et aujourd'hui en verifiant mes fichiers, la makorité de sfichier php ont le fameux code <? /**/eval(base64_decode   etc...

donc je suis venue direct sur ce forum et j'ai vu le message du 1er mai. donc j'ai effectué la modification.

donc je vais rechercher les fichiers de ma version en ligne et je vais les renvoyer sur le ftp...


sans aucun rapport j'ai aussi ete hackée hier par un script, et google a bloqué l'acces a mon blog (via son site), génial en ce moment...

a+

angelik

oups j'ai oublié qu'on ne pouvait pas modifier son message une fois posté.
je vous pris de m'excuser pour les fautes de frappes et etc...

a+

François Keller

j'ai pas tout compris, mais il est important de nettoyer en profondeur la galerie. Une mise à jour ne suffit pas, il faut aussi explorer le dossier albums et son contenu ainsi que le fichier config.inc.php pour vérifier que rien n'est resté
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

angelik

bonjour,

oui oui j'ai bien vérifié et visiblement il etait deja venu en fevrier (ou alors un autre hackeur)

car j'ai un code qui apparait, il est en div display none. 
et je n'arrive pas a trouver ou il est, donc j'ouvre et j'efface a la main quand je trouve le code "codé" en haut de page.

c'est vraiment c**** a faire. car il en reste sans que je sache ou ils se trouvent.  et cela déclenche chez des visiteurs leur antivirus, meme si pas mechant cela bloque la visite de la galerie.

donc je continue...

a+

François Keller

sur le principe, après une mise à jour, il ne reste plus que certains fichiers qui n'ont pas été modifiés:
config.inc.php
le contenu du répertoire albums
anycontent.php
les ficheirs du theme personalisé
c'est donc de ce côté qu'il faut chercher. Et oui c'est c*** comme tu dis, c'est pourquoi il faut faire les mises à jour dès qu'elles sont disponibles...
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

angelik

d'apres le forum la modification (suite au piratage) a été donnée debut mai.
et visiblement j'avais deja été hackée en fev et encore en avril.

sinon oui je sais bien qu'il faut faire les mises a jour.
mais lors de la precedente j'avais de gros problèmes car le nombre de photos etaient trop importants (en fait le nom de categorie), donc la solution qu'on avait trouvé c'etait d'utiliser le fichier catmgr.php d'une version précédente.

sinon pour en revenir au site actuel, j'ai beau supprimer et renvoyer les fichiers de la mise a jour ça ne change rien.
je n'arrive pas a trouver ou se trouve le code qui provoque l'apparition du "code"


(...)<lin**k **rel="stylesheet" hre**f="themes/classic/style.css" type="text/css" />
<scri**pt type="text/javascript" src="scripts.js"></script>
<!-- $Id: template.html 2688 2005-12-04 03:22:35Z donnoman $ -->
</hea**d>
<bod**y><di**v style="d**isplay:none"><!--345776485--><p>Your  <a href="http://www.aimotion.org/photos/displayimage.php/?get-id=181">mortgage reverse specialist</a>  is going to be a part of your life for the next 15 to 30 years. <!--471532333--><p>were issued for many y   (...) </di**v>

  <!DOCTY**PE **html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<h**tml x**mlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
(...)


j'ai effacé tous les themes non utilisés.

tu indiques "le contenu du repertoire album" mais pour ma part dans ce contenu il n'y a que les fichiers images (vignettes et tailles normales) et le fichier index.php.
aucun autre fichier.

je pense que je ne dois pas arriver "à voir" le code.

c'est lassant, il suffit de faire "afficher source" et on voit le code "en clair" (le div display none)


bonne soiree
a+

angelik

je recommence la mise a jour(au cas ou)
en sauvant bien les fichiers que j'ai besoin de conserver.
et tous les autres je les supprime.

a+

François Keller

est ce que tu a déjà regardé les index.php dans le répertoire albums ? et le fichier config.inc.php
regardes dans chacun de tes sous répertoires dans albums si il n'y a pas un fichier .php qui ne devrait pas s'y trouver.
le hack dont tu à fait l'objet est plus ancien que celui de la dernière version
en anglais mais avec tout ce qu'il faut faire pour nettoyer une galerie hackée http://forum.coppermine-gallery.net/index.php/topic,51927.0.html
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

angelik

merci pour tes conseils
oui j'ai regardé

la je recupere tous le repertoire "album", et je ferais une recherche via windows.

ensuite je referais la mise a jour en effacant les fichiers (en ayant sauver avant ceux dont j'ai besoin)
la base de données est deja sauvée
et surtout je conserve le fichier cgmr
je testerai avec le nouveau fichier mais je pense que la galerie ne fonctionnera pas (trop de categorie) et lros de l'admin leur affichage se bloque.  donc ma version est plus legere. (j'avais étais aidé ici d'ailleurs, voir anciens post)

donc deja je sauve tout le repoertoire "album" qui est tres gros...
a+


angelik

tu as bien raison, il y a des fichiers index.php dans quelques (peu) répertoires.
donc je les découvre au fur et a mesure que je télécharge en local

donc à suivre
a+

angelik

bon ben j'ai voulu faire la mise  a jour en effaçant tous els fichiers (sauf le repertoire album)
mais maintenant j'ai l'erreur 500...

tout va bien...

je ne suis pas hébergée par free, j'ai quand meme suivi le patch. mais cela ne change rien

a+

fred35

et votre fichier config.inc.php dans le dossier include ?
Fred

angelik

Quote from: fred35 on May 26, 2009, 12:03:31 AM
et votre fichier config.inc.php dans le dossier include ?

oui bien sur
celui avec mes infos bases de donnees etc

fred35

Quel est votre hébergeur ?

A noter que le .htaccess et le fichier php.ini ne fonctionne pas avec tous les hébergeurs, il faut presque faire du cas par cas...
Fred

angelik

j'ai eu l'erreur 500 (design d emon hebergeur) et ensuite elle s'est transformée en  :

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webadmin@kundenserver.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.


a+

angelik

Quote from: fred35 on May 26, 2009, 12:07:26 AM
Quel est votre hébergeur ?

A noter que le .htaccess et le fichier php.ini ne fonctionne pas avec tous les hébergeurs, il faut presque faire du cas par cas...

je n'utilisais pas de htaccess, je l'ai ajouté a cause de l'erreur 500 qui est apparue.

hebergement 1and1

fred35

chez 1and1 le .htaccess ne fonctionne pas, il faut créer le fichier php.ini à la racine de votre site web ;)
Fred

angelik

autant pour moi j'ia effacé le .htaccess et ca semble remarché.

pourtant tout a l'heure j'avais bien l'erreur (sans la presence du fichier)


mais mon prob est maintenant sur versioncheck.php

quand je verifie j'ai plein de fichiers indiqués "jaune" => Fichiers optionnels manquants : 131

et plein de fichier rouge => Fichiers necessaires manquants : 124

sur un total des fichiers/répertoires vérifiés:      256

a+

angelik

j'ai sur l'index de la page, ou la galerie semble fonctionner ce message : "The PHP setting register_globals is enabled on your server, which is a bad idea in terms of security. It's strongly recommended to turn it off. [more]"

a+

angelik

Quote from: angelik on May 26, 2009, 12:14:10 AM
j'ai sur l'index de la page, ou la galerie semble fonctionner ce message : "The PHP setting register_globals is enabled on your server, which is a bad idea in terms of security. It's strongly recommended to turn it off. [more]"

a+

aurais-tu un exemple d'un fichier php.ini ?

car le probleme ci dessous devrait ce regler avec la modification du fichier

http://forum.coppermine-gallery.net/index.php/topic,59569.0.html

a+