Piwigo.org

laurentg · 2010-03-10 21:48:12

Bonjour,

J'ai un gros souci avec la galerie piwigo que j'ai installé à un ami.
La galerie a été piraté, impossible de se connecter, car Avast coupe la connexion.
(avec un ordi sans avast mais avec l'antivirus Microsoft, la consultation est possible)

J'ai pu accèder aux fichiers par ftp, et tous les fichiers semblent infectés par un code entre <?php
et
// +-----------------------------------------------------------------------+
// | Piwigo - a PHP based picture gallery

La majorité des fichiers du répertoire include sont infectés, tous les fichiers .tpl du dossier templates ont une ligne à la fin <script src="http....je ne place pas l'url ici mais je peux vous la communiquer" ></script>

On retrouve la ligne dans le code html sur toutes les pages entre </head> et <body>

Je vous mets l'url de la galerie, si certain d'entre vous peuvent y accéder, vous pourrez voir dans le code source la ligne <script src="http....je ne place pas l'url ici mais je peux vous la communiquer" ></script> entre </head> et <body>
http://www.randos-photos.com/galerie

J'ai commencé à retirer les lignes qui me paraissent louches sur chaque fichiers, mais c'est un énorme boulot... alors je me demande si le mieux ne serait pas de réinstaller totalement la galerie.

L'angoisse est tout de même de constater qu'il y a peut être une grosse faille dans le script piwigo... Je ne suis pas informaticien, mais lorsque je vois le résultat, je suis très inquiet car j'ai moi même 2 galeries qui tournent avec votre script.

A votre avis ?

Amicalement
Laurent

grum · 2010-03-10 21:57:53

le sujet a déjà été traité.

une recherche sur le forum avec le mot clef "piratage" fait ressortir ce topic : [Forum, topic 15686] Piratage de mon site web / cherche solution pour sécuriser

laurentg · 2010-03-13 19:09:38

Bonsoir,

Pouvez vous me préciser ce qu'est le dossier "trash" qui se trouve dans le dossier "plugins"
Ce dossier est impossible à supprimer...

Merci

Eric · 2010-03-14 03:02:14

laurentg a écrit:
Bonsoir,

Pouvez vous me préciser ce qu'est le dossier "trash" qui se trouve dans le dossier "plugins"
Ce dossier est impossible à supprimer...

Merci

Trash = poubelle. Et on peut très bien le supprimer par FTP. A condition de ne pas avoir une cochonnerie (virus) sur son ordinateur (cf. le lien donné par grum)

laurentg · 2010-03-14 09:36:57

Bonjour,

Merci Eric, je me suis mal exprimé...
Que fait ce dossier trash (poubelle) dans le dossier plugins ?

Chez Nexlink, il n'est pas possible de supprimer par ftp, ce qui a été créé par le script Piwigo. Un plugin installé par le script ne peut être supprimé que par le script ;-)
et ça n'a rien à voir avec un éventuel virus sur mon ordinateur.

Suite à une infection de toutes les pages de la galerie, il n'était plus possible de se connecter via l'admin pour supprimer les plugins. La galerie a donc été supprimé via ftp, sauf les dossiers des plugins installés via l'admin Piwigo.

Pour l'instant je recherche toujours comment l'infection a eu lieu, sans exclure une faille de sécurité sur le script Piwigo ou un de ses plugins.
Il faut savoir que toutes les nuits, les pages étaient de nouveau infectées, sauf la nuit dernière alors que j'avais supprimé Piwigo du serveur.
Les autres pages du site étant de simples pages html (à part un livre d'or Alex Guestbook), vous comprendrez que dans l'état actuel des recherches, je puisse avoir des soupçons sur votre script (que j'apprécie pourtant beaucoup).

Amicalement
Laurent

tosca · 2010-03-14 09:50:58

laurentg a écrit:
Que fait ce dossier trash (poubelle) dans le dossier plugins ?
...
et ça n'a rien à voir avec un éventuel virus ...

Sûr ? Moi je n'ai aucun dossier de ce nom dans les dossiers plugins de mes galeries.

Dernière modification par tosca (2010-03-14 09:52:18)

ddtddt · 2010-03-14 10:06:58

laurentg a écrit:
Chez Nexlink, il n'est pas possible de supprimer par ftp, ce qui a été créé par le script Piwigo. Un plugin installé par le script ne peut être supprimé que par le script ;-)
et ça n'a rien à voir avec un éventuel virus sur mon ordinateur.

Le plus simple est de demandé à ton hébergeur de donnée les droit à ton utilisateur FTP sur ce répertoire

laurentg · 2010-03-14 10:18:11

Sûr ? Moi je n'ai aucun dossier de ce nom dans les dossiers plugins de mes galeries.

Certain...

J'ai installé 3 galeries Piwigo, 2 à moi et 1 à ce copain dont toutes les pages ont été infectées (objet de mon premier message). Sur mes 2 galeries je n'ai pas ce dossier, alors qu'il existe sur la galerie infectée... d'ou ma question aux créateurs de ce script : avez une idée de l'origine de ce dossier ?
Est-il créé par le script Piwigo et si oui, dans quel but ?

Car je cherche toujours par ou est passé le pirate et aucune piste ne doit être écartée ;-)

Merci

tosca · 2010-03-14 10:37:41

laurentg a écrit:
Est-il créé par le script Piwigo et si oui, dans quel but ?

Une petite recherche dans le forum me donne : [Forum, post 83075 by P@t in topic 11745] [Plugin] Plugins Manager mais je ne sais pas si c'est encore d'actualité.

Gotcha · 2010-03-14 10:58:52

Sans exclure une vulnérabilité de Piwigo, il faut différencier les cas où c'est le script qui est en cause et les cas où on laisse la porte ouverte aux virus.

C'est comme si vous laissiez les portières de votre voiture grande ouverte toute la nuit dans une rue sombre lol
Tout est vulnérable à condition aussi de ne pas donner ses codes de carte bancaires ou de... ou d'avoir un virus sur son ordinateur et lors du transfert de fichier via FTP (avec FileZilla ?) le virus à ainsi accès à tout ce qu'il veut pour se nourrir et se propager tranquillement.

Les virus qui sévissent sur les pages PHP ne se propages pas de serveur à serveur, mais bien de ordinateur client (ordinateur privé personnel de monsieur tout le monde) à serveur distant (sur internet).
Le problème vient bien du poste client. C'est le but de tous les virus de trouver un hôte et d'en profiter ;-)

Il se trouve que le virus a infecté Piwigo mais je suis certain qu'il aurait infecté autre chose si c'était autre chose. Pour moi le problème, la source, se trouve sur le poste client car c'est lui qui a infecté le serveur.

;-)

ddtddt · 2010-03-14 12:18:50

La ce n'est pas un virus

C'est la paramétrage du serveur qui ne donne pas de droit au client FTP sur les répertoire créé par Piwigo.

Gotcha · 2010-03-14 12:49:01

ddtddt a écrit:
La ce n'est pas un virus

C'est la paramétrage du serveur qui ne donne pas de droit au client FTP sur les répertoire créé par Piwigo.

Ca ok, mais la le problème à la base, celui qui fait que Laurentg veuille supprimer par FTP des dossiers, c'est bien un virus. La suppression par FTP c'est une autre chose ;-)

Eric · 2010-03-14 15:32:22

tosca a écrit:
laurentg a écrit:
Est-il créé par le script Piwigo et si oui, dans quel but ?
Une petite recherche dans le forum me donne : [Forum, post 83075 by P@t in topic 11745] [Plugin] Plugins Manager mais je ne sais pas si c'est encore d'actualité.

Bonne pioche, tosca ! C'est exactement çà et c'est toujours d'actualité puis le plugin en question a été intégré au core de Piwigo depuis. Le dossier "trash" est donc bien généré par Piwigo mais il doit être possible de le supprimer. Sur mes sites chez Free, aucun pb de ce côté.

Ce qui m'étonne c'est la restriction d'accès FTP imposée par l'hébergeur Nexlink... Si on a un accès FTP sur le stockage de son site, on doit logiquement pouvoir y faire "presque" ce que l'on veut. Sinon, quel intérêt?

P@t · 2010-03-14 19:34:39

En effet, si on efface un plugin depuis le panneau d'administration des plugins et que le serveur ne veuille pas, le dossier est alors déplacé dans trash.
C'est d'ailleurs pour Free en particulier que j'avais fait ca... mais comme le dit Eric, il n'y a pas de raison de ne pas pouvoir effacer ce dossier par FTP.

laurentg · 2010-03-15 07:44:36

Bonjour,

Merci pour la réponse concernant le dossier "trash".

Pour les transferts ftp, c'est bien Filezilla qui est utilisé...
Il semblerait que ce soit effectivement un programme sur l'ordi qui communique le mot de passe ftp, car dernièrement nous avons changé le mot de passe sans l'enregistrer dans Filezilla, et il n'y a plus d'infection des pages saines depuis (déposées sur le serveur juste avant le changement de mot de passe).

Reste à trouver le programme "espion" car pour l'instant les recherches n'ont rien donné.

Merci encore
Amicalement
Laurent

Piwigo.org

Annonce

#1 2010-03-10 21:48:12

Piratage

#2 2010-03-10 21:57:53

Re: Piratage

#3 2010-03-13 19:09:38

Re: Piratage

#4 2010-03-14 03:02:14

Re: Piratage

laurentg a écrit:

#5 2010-03-14 09:36:57

Re: Piratage

#6 2010-03-14 09:50:58

Re: Piratage

laurentg a écrit:

#7 2010-03-14 10:06:58

Re: Piratage

laurentg a écrit:

#8 2010-03-14 10:18:11

Re: Piratage

#9 2010-03-14 10:37:41

Re: Piratage

laurentg a écrit:

#10 2010-03-14 10:58:52

Re: Piratage

#11 2010-03-14 12:18:50

Re: Piratage

#12 2010-03-14 12:49:01

Re: Piratage

ddtddt a écrit:

#13 2010-03-14 15:32:22

Re: Piratage

tosca a écrit:

laurentg a écrit:

#14 2010-03-14 19:34:39

Re: Piratage

#15 2010-03-15 07:44:36

Re: Piratage

Pied de page des forums