Merci d'envoyer ce fichier de détails sur l'email "plg" du domaine "piwigo.org".
Le hacker est revenu et sa méthode a été enregistrée avec détails !!!!
Bonjour,
nous avons réussi à enregistrer la trace du hacker
www était en lecture seule au moment des faits (droits 555) et le hacker a tout de même pu déposer son fichier. J'ai envoyé cela à O2switch car c'est assez étrange.
Ci-dessous à titre d'info le script généré par mon collègue afin d'enregistrer la méthode du hacker et surtout le contenu du "POST"
script ayant généré ce fichier log (ajouté au index.php)
ob_start();
var_export($_POST);
var_export($_GET);
var_export($_SERVER);
$tab_debug=ob_get_contents();
ob_end_clean();
------------------------------------------------------------------------
traces dans les logs
31.41.15.18 - - [04/Jan/2012:11:31:52 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:31:53 +0100] "GET /index.php?/category/w88396928t.php HTTP/1.1" 404 2064 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:46 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:47 +0100] "GET /w27827122w.php HTTP/1.1" 200 37050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
Ci-dessous en fichier attaché .txt (mis dans le champ image si cela passe ?)donnant le détail du POST montrant comment le hacker est passé à travers PIWIGO . Cela peut éventuellement indiquer une faille dans PIWIGO !? en analysant ce fichier
. A priori il utiliserait la variable showimg.....
Contactez moi directement par mail pour obtenir ce fichier log donnant le contenu du "POST" car je n'arrive pas à le placer dans ce message
tout a fait normal
Bonjour,
je recherche toujours des anomalies pouvant amener à résoudre ces pb d'intrusions.
Je remarque que PIWIGO génère automatiquement suivant la venue de visiteurs sur internet des scripts PHP (exemple ci-dessous)
Fichiers ajoutés ce matin (parfois plus de 50 par jours)
Rq: je n'étais pas connecté à ce moment là sur mon site internet studio-carl.com
est-ce normal ?
de plus, ces fichiers ne sont pas supprimés et s'empilent donc dans l'espace du site !
/home/carl/www/_data/templates_c/1k4xi1d^%%B3^B35^B354EEAB%%tags.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%6D^6DB^6DB28CFA%%about.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%D0^D0B^D0BAFE5D%%search.tpl.php
flop25 a écrit:
de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...
parfait, merci flop25
de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...
Mascarille a écrit:
Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code
Message édité, post:181467
@carl merci de tes efforts et remarques mais on les connais déjà ces sites et les exploits associés à piwigo : on surveille ce genre de chose. Je t"ai demandé plutôt les extensions que tu avais installé et le détail des requêtes Post/Get associé à l'ip
tu parles de timthumb : stripped & columns utilisait avant le 12 aout et depuis le 10 juillet une version non sécurisée de ce script. Le 12 aout il a été mis a jour en même temps que tous les sites wordpress ou autre l'utilisant du fait de la découverte d'un exploit, quelques jours aupravant. Le 4 septembre je l'ai remplacé par un autre script plus mature.
Bonjour,
attention certains antivirus comme AVAST bloquent cette page comme comportant un cheval de Troie... Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code
Bonne Journée
Emile
Carl a écrit:
Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.
N'hésite pas à nous donner des liens que l'on puisse apporter des réponses ;-)
Carl a écrit:
On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.
Je te dirais que si tu as des liens qui indique le nom d'un plugin ou un thème qui introduit une faille de sécurité merci de le donner pour qu'un correction soit apporté.
Il n'y a aucune faille de sécurité dans une extension connu à ce jours.
Toutes les failles qui ont existé ont été corrigé.
Réponse par rapport à ma version précédente 2.2.5
Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.
MAIS, depuis hier aprem j'ai effectué la mise à jour et suis actuellement à la version 2.3.2
C'est vrai.
Par contre en surfant sur internet par rapport au fichier timthumb (backdoor filesman):
On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.
De plus il est indiqué de faire attention aux scripts java (ci-dessous extrait article)
lien: http://www.forbes.com/sites/davidcourse … s-in-2012/
If you’re not running Firefox with NoScript installed, you need to do so right now. As far as I can tell, it’s the only surefire method of preventing an accidental infection of a Windows PC by exploit-kitted Web pages. It all starts with a blob of heavily-obfuscated Javascript and ends within a few minutes with the victim’s PC pwned and the victim’s passwords in the hands of some Asian or eastern European goon squad.
It couldn’t get any more obvious that you need to act immediately. Update Flash, Acrobat, Office, and other vulnerable applications today, right now. Disable Javascript within PDF documents in your PDF reader’s preferences. And at least for the time being, the safest thing to do is to uninstall Java from any system you control, at least until a patch gets released to address CVE-2011-3544.
Question: pensez vous ces remarques justifiées.
Gotcha a écrit:
@Grum : Chez o2switch, la version proposée de Piwigo est la version v2.3.2
oui, mais Carl indique que c'est O2Switch qui lui installe son site. Du coup, c'est pour çà que je reposais la question : pourquoi est-il en 2.2.5 si via softaculous, c'est 2.3.2 qui est proposée.
@Carl : quand tu dis que c'est O2Switch qui t'installe Piwigo, tu peux être plus précis ?
Je suis un peu étonné que le support procède à l'installation d'un script disponible dans softaculous.
Ce ne sont pas les failles (corrigées depuis longtemps) listées sur ce site qui ont provoqué l'arrivée de ce fichier sur ton site.