flop25 a écrit:
de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...
parfait, merci flop25
Hors ligne
Bonjour,
je recherche toujours des anomalies pouvant amener à résoudre ces pb d'intrusions.
Je remarque que PIWIGO génère automatiquement suivant la venue de visiteurs sur internet des scripts PHP (exemple ci-dessous)
Fichiers ajoutés ce matin (parfois plus de 50 par jours)
Rq: je n'étais pas connecté à ce moment là sur mon site internet studio-carl.com
est-ce normal ?
de plus, ces fichiers ne sont pas supprimés et s'empilent donc dans l'espace du site !
/home/carl/www/_data/templates_c/1k4xi1d^%%B3^B35^B354EEAB%%tags.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%6D^6DB^6DB28CFA%%about.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%D0^D0B^D0BAFE5D%%search.tpl.php
Hors ligne
tout a fait normal
Hors ligne
Le hacker est revenu et sa méthode a été enregistrée avec détails !!!!
Bonjour,
nous avons réussi à enregistrer la trace du hacker
www était en lecture seule au moment des faits (droits 555) et le hacker a tout de même pu déposer son fichier. J'ai envoyé cela à O2switch car c'est assez étrange.
Ci-dessous à titre d'info le script généré par mon collègue afin d'enregistrer la méthode du hacker et surtout le contenu du "POST"
script ayant généré ce fichier log (ajouté au index.php)
ob_start();
var_export($_POST);
var_export($_GET);
var_export($_SERVER);
$tab_debug=ob_get_contents();
ob_end_clean();
------------------------------------------------------------------------
traces dans les logs
31.41.15.18 - - [04/Jan/2012:11:31:52 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:31:53 +0100] "GET /index.php?/category/w88396928t.php HTTP/1.1" 404 2064 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:46 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:47 +0100] "GET /w27827122w.php HTTP/1.1" 200 37050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
Ci-dessous en fichier attaché .txt (mis dans le champ image si cela passe ?)donnant le détail du POST montrant comment le hacker est passé à travers PIWIGO . Cela peut éventuellement indiquer une faille dans PIWIGO !? en analysant ce fichier
. A priori il utiliserait la variable showimg.....
Contactez moi directement par mail pour obtenir ce fichier log donnant le contenu du "POST" car je n'arrive pas à le placer dans ce message
Dernière modification par Carl (2012-01-04 14:43:15)
Hors ligne
Merci d'envoyer ce fichier de détails sur l'email "plg" du domaine "piwigo.org".
Hors ligne