•  » Utilisation
  •  » Bug et attaque virale à partir de la page "à propos" about.php

#1 2011-12-03 12:43:45

eric@images-en-cours.com
Membre
Nord
2011-12-03
6

Bug et attaque virale à partir de la page "à propos" about.php

Bonjour,

Après avoir mis à jour mes deux sites Piwigo, j'ai eu la désagréable surprise en cliquant sur le lien "à propos" de tomber sur une adresse malveillante d'un site russe et d'être attaqué sur mon portable (alertes Norton)


http://www.imagesencours.com/annielarcher/about.php
http://www.images-en-cours.com/galerie- … /about.php

Le template utilisé est stripped

L'attaque provient de  kilobicsbizz.ru

Merci de régler ce problème au plus vite. Pour info, l'attaque virale a été remontée à Symantec qui va bloquer ce type de site et à Google également qui va faire de même jusqu'à ce qu'une solution soit trouvée. 

Bien cordialement

Eric

Dernière modification par eric@images-en-cours.com (2011-12-03 12:52:30)

Hors ligne

#2 2011-12-03 13:07:29

edubois
Invité

Re: Bug et attaque virale à partir de la page "à propos" about.php

Bonjour,

En complément de mon précédent email, c'est toute cette version 2.3.1. qui est buggée ! Pour preuve les tests réalisés sur différents postes et sur les navigateurs firefow et explorer. une fois sur deux, pour afficher les photos ou les modules de recherche, à propos, etc, la CSS n'est plus activée, et l'attaque virale redémarre.

Bcdt

Eric

#3 2011-12-03 16:06:48

Eric
Former Piwigo Team
VALENCE (FR)
2005-03-25
4579

Re: Bug et attaque virale à partir de la page "à propos" about.php

Tout d'abord, on évite de céder à la panique.

Ensuite, moi je dirais plutôt que c'est ton accès sur l'hébergement de ton site qui a été piraté et non Piwigo. Pour modifier cette page, il faut avoir un accès à la source, c'est à dire ton hébergement. As-tu pensé à modifier tous tes mots de passe (accès FTP, MySql et éventuellement à ta console de gestion de ton hébergeur) ? Et pas avec des mots de passe du genre "toto1" !

Ensuite, lorsque tes accès seront sécurisés, connectes-toi en FTP et récupère le fichier about.php à la racine de ta galerie. Envoies le moi par mail que je vois la tête qu'il a.


En aparté, tu subis "l'attaque virale" sur tous tes postes car le lien vers le site russe contient un javascript néfaste. Avec l'extension NoScript pour Firefox, le script est immédiatement bloqué sans qu'il ait pu faire de dommages. Ceci dit, il faudrait vérifier aussi que tu ne disposes pas déjà d'un ver ou troyan sur tes machines.

Hors ligne

#4 2011-12-03 16:25:42

flop25
Équipe Piwigo
2006-07-06
6544

Re: Bug et attaque virale à partir de la page "à propos" about.php

Bonjour
en effet beaucoup de malware/virus utilisent les connexions ftrp pour se propager.
Je vous conseillerais, en plus de ce qu'a déjà bien dit Eric, de scanner le PC utilisé pour les accès ftp : il est très probablement infecté

Hors ligne

#5 2011-12-06 07:52:49

eric@images-en-cours.com
Membre
Nord
2011-12-03
6

Re: Bug et attaque virale à partir de la page "à propos" about.php

Bonjour,

Merci pour vos réponses.

Concernant mon hébergement, j'ai réalisé sur les conseils de mon hébergeur toutes les modifications préconisées : modification de tous mes mots de passes, individualisation pour chaque site, console, DB mysql etc et FTP, suppression de tout les dossiers et fichiers de mon hébergement, chargement d'une copie de sauvegarde depuis l'hébergeur strato non vérolée, réinstallation.

Tous les sites testés, tout était OK jusqu'à ce que je relance l'installation sur l'un des sites en subfolder de piwigo pour une galerie photo. Une fois installé par défaut, tout était encore OK (lien sur page à propos notamment). mais après chargement du thème Stripper, config en blanc, puis retour sur la navigation, je clique sur à propos et là plus de feuille de style ! je clique sur l'un des liens et réapparition du lien malveillant.

le virus est : Web Attack: Blackhole Exploit Kit Website 11 -  http://www.symantec.com/business/securi … asid=24593

j'ai effectué les scanns complet de tous mes postes + Norton Power Eraser, rien trouvé.

A quelle adresse dois-je envoyer le fichier about.php ?

Faut-il supprimer le fichier install ?

Pourquoi n'y a-t'il pas de fichier .htaccess ?

Merci de vos réponses et de votre aide. je ne voudrais pas passer encore deux jours à tout remettre en place ou provoquer des attaques chez mes visiteurs

Bien cordialement

Eric

Hors ligne

#6 2011-12-06 11:26:48

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: Bug et attaque virale à partir de la page "à propos" about.php

Faites toujours une copie du fichier about.php via le site http://pastie.org/ (choisissez le bon langage).

Je viens de notifier l'auteur du thème Stripped au cas ou.

Inutile de supprimer le dossier ./install


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#7 2011-12-06 16:41:36

Zaphod
Former Piwigo Team
Toulouse
2006-11-13
2422

Re: Bug et attaque virale à partir de la page "à propos" about.php

Le about.tpl de stripped c'est ça :

Code:

{php}
  global $conf;
  $this->assign('LEVEL_SEPARATOR', $conf[ 'level_separator' ]);
{/php}
<div class="titrePage">
  <div class="browsePath">
    <h2><a href="{$U_HOME}" title="{'return to homepage'|@translate}">{'Home'|@translate}</a>{$LEVEL_SEPARATOR}{'About'|@translate}</h2>
  </div>
</div>
<div id="content">
  <div id="piwigoAbout">
    {$ABOUT_MESSAGE}
    {if isset($THEME_ABOUT) }
      <ul>
        <li>{$THEME_ABOUT}</li>
      </ul>
    {/if}
  </div>
</div>

C'est très proche du about.tpl de départ à part le code php au début.
Si un truc ne va pas... je veux bien savoir quoi... mais il y a plein d'autres tpl où j'ai une balise php.
(et je ne peux pas trop m'en passer dans le thème)

Hors ligne

#8 2011-12-06 16:47:47

flop25
Équipe Piwigo
2006-07-06
6544

Re: Bug et attaque virale à partir de la page "à propos" about.php

nan mais la page about n'est pas le sujet !
Blackhole Exploit fait partie des attaque qu'on trouve couramment
en fait un pov type s'amuse à essayer toutes les vulnérabilité connues sur le web et qui peuvent rapporter gros, puis met un lien vers ce virus très virulent !
dans les failles possibles je pense aux script php outil (redimentionneur d'image, flux rss, agrégateur...) ou CMS
il serait plus intéressant de savoir TOUTES les extensions piwigo installée et TOUS les autres script installé comme wordpress et leurs extensions aussi

Dernière modification par flop25 (2011-12-06 16:48:12)

Hors ligne

#9 2011-12-06 18:01:22

Eric
Former Piwigo Team
VALENCE (FR)
2005-03-25
4579

Re: Bug et attaque virale à partir de la page "à propos" about.php

+1
Si trou il y a, il faut le trouver pour le boucher. La dénaturation d'une page ne peut se faire via une faille qui n'est pas forcément sur la page dénaturée.

Hors ligne

#10 2011-12-07 19:35:11

eric@images-en-cours.com
Membre
Nord
2011-12-03
6

Re: Bug et attaque virale à partir de la page "à propos" about.php

Bonjour,

je vais procéder à une nouvelle installation ce soir. je vous enverrai la liste des extensions installées après test.

Bcdt

Eric

Hors ligne

  •  » Utilisation
  •  » Bug et attaque virale à partir de la page "à propos" about.php

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact