Écrire une réponse

Veuillez écrire votre message et l'envoyer

Cliquez dans la zone sombre de l'image pour envoyer votre message.

Retour

Résumé de la discussion (messages les plus récents en premier)

eric@images-en-cours.com
2011-12-07 19:35:11

Bonjour,

je vais procéder à une nouvelle installation ce soir. je vous enverrai la liste des extensions installées après test.

Bcdt

Eric

Eric
2011-12-06 18:01:22

+1
Si trou il y a, il faut le trouver pour le boucher. La dénaturation d'une page ne peut se faire via une faille qui n'est pas forcément sur la page dénaturée.

flop25
2011-12-06 16:47:47

nan mais la page about n'est pas le sujet !
Blackhole Exploit fait partie des attaque qu'on trouve couramment
en fait un pov type s'amuse à essayer toutes les vulnérabilité connues sur le web et qui peuvent rapporter gros, puis met un lien vers ce virus très virulent !
dans les failles possibles je pense aux script php outil (redimentionneur d'image, flux rss, agrégateur...) ou CMS
il serait plus intéressant de savoir TOUTES les extensions piwigo installée et TOUS les autres script installé comme wordpress et leurs extensions aussi

Zaphod
2011-12-06 16:41:36

Le about.tpl de stripped c'est ça :

Code:

{php}
  global $conf;
  $this->assign('LEVEL_SEPARATOR', $conf[ 'level_separator' ]);
{/php}
<div class="titrePage">
  <div class="browsePath">
    <h2><a href="{$U_HOME}" title="{'return to homepage'|@translate}">{'Home'|@translate}</a>{$LEVEL_SEPARATOR}{'About'|@translate}</h2>
  </div>
</div>
<div id="content">
  <div id="piwigoAbout">
    {$ABOUT_MESSAGE}
    {if isset($THEME_ABOUT) }
      <ul>
        <li>{$THEME_ABOUT}</li>
      </ul>
    {/if}
  </div>
</div>

C'est très proche du about.tpl de départ à part le code php au début.
Si un truc ne va pas... je veux bien savoir quoi... mais il y a plein d'autres tpl où j'ai une balise php.
(et je ne peux pas trop m'en passer dans le thème)

Gotcha
2011-12-06 11:26:48

Faites toujours une copie du fichier about.php via le site http://pastie.org/ (choisissez le bon langage).

Je viens de notifier l'auteur du thème Stripped au cas ou.

Inutile de supprimer le dossier ./install

eric@images-en-cours.com
2011-12-06 07:52:49

Bonjour,

Merci pour vos réponses.

Concernant mon hébergement, j'ai réalisé sur les conseils de mon hébergeur toutes les modifications préconisées : modification de tous mes mots de passes, individualisation pour chaque site, console, DB mysql etc et FTP, suppression de tout les dossiers et fichiers de mon hébergement, chargement d'une copie de sauvegarde depuis l'hébergeur strato non vérolée, réinstallation.

Tous les sites testés, tout était OK jusqu'à ce que je relance l'installation sur l'un des sites en subfolder de piwigo pour une galerie photo. Une fois installé par défaut, tout était encore OK (lien sur page à propos notamment). mais après chargement du thème Stripper, config en blanc, puis retour sur la navigation, je clique sur à propos et là plus de feuille de style ! je clique sur l'un des liens et réapparition du lien malveillant.

le virus est : Web Attack: Blackhole Exploit Kit Website 11 -  http://www.symantec.com/business/securi … asid=24593

j'ai effectué les scanns complet de tous mes postes + Norton Power Eraser, rien trouvé.

A quelle adresse dois-je envoyer le fichier about.php ?

Faut-il supprimer le fichier install ?

Pourquoi n'y a-t'il pas de fichier .htaccess ?

Merci de vos réponses et de votre aide. je ne voudrais pas passer encore deux jours à tout remettre en place ou provoquer des attaques chez mes visiteurs

Bien cordialement

Eric

flop25
2011-12-03 16:25:42

Bonjour
en effet beaucoup de malware/virus utilisent les connexions ftrp pour se propager.
Je vous conseillerais, en plus de ce qu'a déjà bien dit Eric, de scanner le PC utilisé pour les accès ftp : il est très probablement infecté

Eric
2011-12-03 16:06:48

Tout d'abord, on évite de céder à la panique.

Ensuite, moi je dirais plutôt que c'est ton accès sur l'hébergement de ton site qui a été piraté et non Piwigo. Pour modifier cette page, il faut avoir un accès à la source, c'est à dire ton hébergement. As-tu pensé à modifier tous tes mots de passe (accès FTP, MySql et éventuellement à ta console de gestion de ton hébergeur) ? Et pas avec des mots de passe du genre "toto1" !

Ensuite, lorsque tes accès seront sécurisés, connectes-toi en FTP et récupère le fichier about.php à la racine de ta galerie. Envoies le moi par mail que je vois la tête qu'il a.


En aparté, tu subis "l'attaque virale" sur tous tes postes car le lien vers le site russe contient un javascript néfaste. Avec l'extension NoScript pour Firefox, le script est immédiatement bloqué sans qu'il ait pu faire de dommages. Ceci dit, il faudrait vérifier aussi que tu ne disposes pas déjà d'un ver ou troyan sur tes machines.

edubois
2011-12-03 13:07:29

Bonjour,

En complément de mon précédent email, c'est toute cette version 2.3.1. qui est buggée ! Pour preuve les tests réalisés sur différents postes et sur les navigateurs firefow et explorer. une fois sur deux, pour afficher les photos ou les modules de recherche, à propos, etc, la CSS n'est plus activée, et l'attaque virale redémarre.

Bcdt

Eric

eric@images-en-cours.com
2011-12-03 12:43:45

Bonjour,

Après avoir mis à jour mes deux sites Piwigo, j'ai eu la désagréable surprise en cliquant sur le lien "à propos" de tomber sur une adresse malveillante d'un site russe et d'être attaqué sur mon portable (alertes Norton)


http://www.imagesencours.com/annielarcher/about.php
http://www.images-en-cours.com/galerie- … /about.php

Le template utilisé est stripped

L'attaque provient de  kilobicsbizz.ru

Merci de régler ce problème au plus vite. Pour info, l'attaque virale a été remontée à Symantec qui va bloquer ce type de site et à Google également qui va faire de même jusqu'à ce qu'une solution soit trouvée. 

Bien cordialement

Eric

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact