Bonjour,
je commence à utiliser piwigo et suis complétement néophyte. J'ai commencé à monter ma gallerie et jusqu'à hier tout allait bien.
Depuis ce matin quand j'arrive sur ma page d'accueil (réalisée avec le module additional page) j'ai un popup demandant une mise à jour flash qui s'affiche. Pourtant flash player est dans la dernière version. J'ai testé avec un autre pc et j'ai le même souci. J'ai testé avec d'autres thèmes idem ! Pouvez-vous m'aiguiller svp? Merci (site http://www.rabache.org)
Bonjour
il s'agit d'un malware, qui se charge dans la page je ne sais encore comment. Mais il est urgent d'agir avec premièrement un .htaccess contenant "deny from all" afin de mettre en quarantaine le site
Sous Windows, il est logiquement impossible de créer un fichier .htaccess, puisque Windows ne vous autorisera pas à sauvegarder le fichier tel quel. Voici la démarche à suivre :
•Créer un fichier texte « fichier.htaccess »
•Renommer le fichier en supprimant « fichier »
Remarque : Selon votre éditeur, vous pouvez également sauvegarder le fichier directement en .htaccess. Sous Notepad, il suffit de mettre des guillemets autour du nom de fichier tandis que UltraEdit gère le nom lui-même.
Ensuite téléchargez sur votre ordi dans un dossier quelconque, votre site, via FTP
Hors ligne
Ensuite recherchez toute mention de "santaros" dans l'ensemble des fichiers
Nous reporter le resultat
En parallèle, changez les mot de passe de l'utilisateur ftp (généralement le panneau admin foruni par votre hébergeur), celui de l'utilisateur mysql dans phpmyadmin ou autre indiqué dans le panneau admin fourni par votre hébergeur, et enfin celui qui vous permet d'accéder à ce panneau admin fourni par votre hébergeur. Tous doivent être différents ! et forts
Dernière modification par flop25 (2014-01-16 13:54:11)
Hors ligne
Avant tout je tiens à vous féliciter pour votre réactivité et vous remercier pour vos réponses !
Je vous confirme qu'un petit malin a réussis à introduire du code php.
Comme vous me l'avez suggéré, j'ai :
- téléchargé le site sur mon pc.
- Plutôt que de créer un fichier htaccess et pour ne pas prendre de risque j'ai supprimé tous les fichiers chez l’hébergeur (mon site étant un hommage à un ami, si il n'est pas disponible 48h ce n'est franchement pas un drame).
- j'ai modifié le mot de passe ftp
Ensuite j'ai cherché santos sur les fichiers que j'avais téléchargé et j'ai trouvé une correspondance. En fouillant j'ai trouvé un morceau de code malveillant (4 lignes php) sur la page index. J'ai supprimé ce code et remis mes fichiers. Pour le moment je n'ai plus de soucis. Toutefois je vais continuer mes investigations sur le reste des pages.
Encore merci
De rien
Peut on avoir des informations à propos de l'environnement : version Piwigo, hébergement, autres script installés ?, les anciens mots de passes étaient forts notamment ftp?
Hors ligne
Piwigo est le seul script installé à la racine de mon domaine (un sous-domaine existe avec un script wordpress qui n'a pas été impacté par le code malveillant)
j'utilise la Version piwigo : 2.5.3 (a priori la dernière) avec le thème stripped-galleria
mon hébergeur est oxyd
J'ai toujours eu une politique de mot de passe que je considère assez forte (minimum 8 caractères comprenant obligatoirement minuscules, majuscules, chiffres)
En gros et pour info le code malveillant en php initiait une variable, si cette variable était vide on affichait le popup. Dans la mesure où cette varaiable était inéluctablement vierge le popup s'affichait.
quel code exactement svp
Hors ligne