Piwigo.org

LeT0C · 2013-01-16 15:26:58

Bonjour à tous,

Tout d'abord, je tiens à préciser que je suis grand développement en dev web...

J'utilise Piwigo pour ma galerie en ligne. Récemment, j'ai eu un soucis avec mon hébergement, mon espace a été piraté et du code malveillant a été injecté sur mes sites. Heureusement, tout ça n'était pas bien compliqué et j'ai pu virer la plupart des saloperies à la mains quelques minutes avec l'aide d'un ami développeur web.

Seulement, j'ai découvert à la racine de mon site utilisant Piwigo une série de 70 fichiers s'appellant tous core.XX (où XX est un nombre à 3, 4 ou 5 chiffres) et pesant chacun autour de 120 Mo, totalisant donc tranquillement les 8.5 Go... Quelqu'un aurait-il la moindre idée de si ces fichiers peuvent avoir été générés par Piwigo et pourquoi?

Merci à tous pour votre aide,

<LeT0C>

plg · 2013-01-16 16:17:41

Bonjour LeT0C,

Aucune idée et a priori cela n'a pas de rapport avec Piwigo. Quelqu'un a utilisé votre espace en ligne pour faire du partage de fichier (probablement pas très légal les fichiers...)

S.youinou · 2013-01-16 17:05:39

Bonjour,

J'ai aussi me même problème avec 74 fichiers en core.XX (où XX est un nombre à 3, 4 ou 5 chiffres) et pesant chacun autour de 120, 130 Mo, totalisant donc les 9.2 Go...

Je suis incapable de savoir si, comme pour LeToc, du code malveillant à été injecté. Comment pourrai-je le détecter ?

Je m'en suis aperçu par hasard, en tentant d’accéder à mon site, il m'a jeter lors de l'identification avec un code d'erreur (je ne l'ai pas mémorisé), puis, quelques instant plus tard, plus de Pb pour y accéder...

Merci de me rassurer sur la bonne intégrité de mon site...
Sylvain.

PS : Mon hégergeur est o2switch

S.youinou · 2013-01-16 17:08:46

J'ai supprimé les fichiers core.xxx et cela ne semble pas affecter le fonctionnement de mon site...

flop25 · 2013-01-16 17:32:28

En fait non ce n'est pas malveillant
http://wiki.linuxquestions.org/wiki/Core_dump peut-être du aux générations d'images ratée (surcharge, interrompu etc)

S.youinou · 2013-01-16 17:40:46

Ah, Ok, merci Flop25, cela me rassure, mais n'explique pas le Pb de connexion que j'ai rencontré plusieurs fois de suite et que je ne reproduis plus...

LeT0C · 2013-01-16 17:54:48

Ouahou, merci beaucoup flop25 pour cette info !!!
Donc au final, je peux tout supprimer car c'est juste des outils de debuggage (dont je ne sers pas), c'est bien ça?

@S.youinou: En ce qui me concerne, un fichier default.php avec du code crypté a été déposé à la racine du site. Après décryptage, il s'avérait que le code permettait d'exécuter a peu près tout et n'importe quoi en php sur le serveur... ce qui craint un peu quand même...

[EDIT]
@S.youinou: Je suis allé faire un tour sur ton site (il y a quelques photos que j'aime bien d'ailleurs). J'ai vu une lien vers o2switch, tu es chez eux? Parce que moi aussi et ça fait deux fois que je me fais injecter du code de merde. Je dois les contacter cette semaine pour essayer de comprendre si la vulnérabilité vient d'un de mes sites ou si c'est carrément leurs serveurs qui sont complètement pourris de merdailles pirates.

Dernière modification par LeT0C (2013-01-16 18:35:46)

S.youinou · 2013-01-17 11:22:48

@LeToc
Merci de tes réponses. Je suis effectivement chez o2switch et je n'ai pas rencontré de problème jusqu’à maintenant.
Concernant mon inquiétude première, Flop25 m'a entièrement rassuré quant a l'apparition de ces fichiers core.xxx. Je ne vois pas de fichier default.php à la racine de mon site, ce qui serait plutôt une bonne nouvelle.

laurent.duretz · 2013-01-17 12:09:45

Même problème pour moi chez 02switch.

Une analyse rapide de tous les core présent chez moi -//:---\spam qu'ils ont été générés avec i.php à la racine de l'appli.

A quoi sert ce fichier ?

flop25 · 2013-01-17 13:07:27

http://fr.piwigo.org/doc/doku.php?do=se … 22i.php%22 et [Forum, post 198070 by flop25 in topic 23419] Fichiers core.XX: kézako?

rvelices · 2013-01-17 13:34:32

je dirais que les cores peuvent provenir seulement de convert ou identify (external image magick)

si vous avez ssh et gdb vous pouvez essayer de lancer la commade gdb core.xxx
ensuite ca doit dire quelque part "Core was generated by "

Piwigo.org

Annonce

#1 2013-01-16 15:26:58

Fichiers core.XX: kézako?

#2 2013-01-16 16:17:41

Re: Fichiers core.XX: kézako?

#3 2013-01-16 17:05:39

Re: Fichiers core.XX: kézako?

#4 2013-01-16 17:08:46

Re: Fichiers core.XX: kézako?

#5 2013-01-16 17:32:28

Re: Fichiers core.XX: kézako?

#6 2013-01-16 17:40:46

Re: Fichiers core.XX: kézako?

#7 2013-01-16 17:54:48

Re: Fichiers core.XX: kézako?

#8 2013-01-17 11:22:48

Re: Fichiers core.XX: kézako?

#9 2013-01-17 12:09:45

Re: Fichiers core.XX: kézako?

#10 2013-01-17 13:07:27

Re: Fichiers core.XX: kézako?

#11 2013-01-17 13:34:32

Re: Fichiers core.XX: kézako?

Pied de page des forums