Piwigo.org

a6tole · 2014-04-19 21:13:21

Bonsoir,
Je viens de découvrir un message plus que surprenant sur une de mes galleries, voici la capture d'écran : http://www.month.fr/wp-content/uploads/2014/04/1.png

Je vous ai fait une copie du code html si vous le souhaitez.

Version de Piwigo: 2.6.2
Version de PHP: 5.3.27
Version de MySQL: 5.1.73-cll
URL Piwigo: http://www.month.fr/piwigo/ (actuellement vérouillée)

mistic100 · 2014-04-19 21:15:01

Bonjour

c'est du texte entré dans la description de l'album

si ce n'est pas vous qui l'avez mit ont vous a certainement volé vos identifiants (piwigo et/ou ftp et/ou mysql)

a6tole · 2014-04-19 21:16:41

Bien vu.
Je ne vois pas comment cela à pu atterrir à cet endroit, le site est neuf, des codes alphanumériques dédiés…

flop25 · 2014-04-19 21:20:38

Bonjour

merci à un modo de déplacer dans la section appropriée

vous pourriez vous enregistrer pour avoir l'accès aux notifications par mails des réponses à vos messages :)

Pour vous répondre, il va falloir trouver comment une personne a pu changer une description d'album pour y inclure un lien vérolé : déjà est ce vraiment la description de l'album qui a été changé ?
Quels sont les plugins et thèmes présents (pas juste activés) sur votre galerie ? Dans la liste utilisateur, y a t il d'autres admin que vous ? Votre mot de passe admin est il fort https://www.microsoft.com/fr-fr/securit … ecker.aspx ?

Téléchargez les fichiers de votre Piwigo hors /galleries et /upload, télécharger piwigo 2.6.2 et utilisez Winmerge http://winmerge.org/downloads/?lang=fr pour comparer les deux dossiers, et détecter des modifications du code

a6tole · 2014-04-19 21:59:04

Bon procédons par ordre :

Je suis certain de mon mot de passe, alphanumérique, minuscules et majuscules et ponctuation. Cependant, un autre administrateur a utilisé ce jour là, il m'assure ne pas être à l'origine du message inséré.

Voici la liste des plugins activés :
-Copyrights
-Image Preview

Plugins désactivés :
-Check upgrades
-Language Switch
-LocalFiles Editor
-Multi view

Thèmes activés :
-Stripped (par défaut)
-elegant
-Smart Pocket (Mobile)

Thèmes désactivés :
-clear
-dark
-Sylvia

Pour le winmerge, je suis sous mac os, y a t'il une application semblable pour les utilisateurs à la pomme ?

Merci de votre aide

flop25 · 2014-04-19 22:05:32

parce que vous partagez le mot de passe... hmm certes

changez tout vos mdp (piwigo, ftp, mysql, hébergeur)
une fois téléchargé les fichiers distants sauf /galleries et /upload, supprimez tout sauf /local et /template-extension, uploadez pwiigo 2.6.2 et les plugins et thèmes précédemment utilisés. Envoyez moi les fichiers téléchargés à mon mail ( flop25 sur gmail.com ).

a6tole · 2014-04-19 22:07:05

Nous ne partageons pas le même mot de passe !!
J'ai un compte administrateur et j'ai ouvert des comptes webmaster pour quelques amis.

Je suis en train de télécharger un programme (Xcode) pour utiliser un FileMerge et comparer les fichiers

flop25 · 2014-04-19 22:09:08

Ok Très bien

il faudra leur faire changer de mdp

Dernière modification par flop25 (2014-04-19 22:09:29)

a6tole · 2014-04-19 22:50:01

Alors voici le résultat du FileMerge : Je n'affiche que les fichiers de mon site qui sont différents du piwigo original

_data/combined/
_data/i/
_data/index.htm
_data/templates_c/

admin/include/
admin/themes/
admin/updates.php
admin/updates_ext.php
admin/updates_pwg.php

doc/READMED_ca.txt

include/mdetect.php

language/ toutes les langues

local/config/
local/watermarks/

plugin/ tous les plugins

thems/ tous les themes

a6tole · 2014-04-19 22:54:52

Si vous le souhaitez je peux vous envoyer le log de mon serveur pour voir s'il y a eu une connexion anormale

flop25 · 2014-04-19 23:58:31

a6tole a écrit:
admin/updates.php
admin/updates_ext.php
admin/updates_pwg.php
include/mdetect.php

? plus d'info svp

a6tole · 2014-04-20 00:08:12

Je vous les envoie par mail.
Visiblement, c'est l'encodage des fichiers qui change (Unix LF vs Windows CRLF)

a6tole · 2014-04-22 19:20:56

Après recherches, personne n'est à l'origine de cette publication…
Peut être qu'une boîte mail mal protégée sur laquelle ont été envoyés les l/p est à l'origine de cette intrusion ?

Merci de votre aide.

a6tole · 2014-04-28 21:41:16

Je pense qu'on peut conclure ce topic…
Le wordpress de mon serveur a affiché exactement le même message après la création d'un article par le même administrateur que celui qui avait créé la galerie Piwigo affichant ce commentaire étonnant.
Je pense qu'il doit avoir un virus sur son ordinateur qui profite de la connexion au backoffice pour insérer le message indésirable.

Merci de votre aide.

a6tole · 2014-04-30 16:54:55

PS : c'est le travail d'un malware qui génère ce code :
toutes les explications sont ici http://www.enigmasoftware.com/pupdescar … s-removal/

Piwigo.org

Annonce

#1 2014-04-19 21:13:21

Message surprenant sur un de mes albums

#2 2014-04-19 21:15:01

Re: Message surprenant sur un de mes albums

#3 2014-04-19 21:16:41

Re: Message surprenant sur un de mes albums

#4 2014-04-19 21:20:38

Re: Message surprenant sur un de mes albums

#5 2014-04-19 21:59:04

Re: Message surprenant sur un de mes albums

#6 2014-04-19 22:05:32

Re: Message surprenant sur un de mes albums

#7 2014-04-19 22:07:05

Re: Message surprenant sur un de mes albums

#8 2014-04-19 22:09:08

Re: Message surprenant sur un de mes albums

#9 2014-04-19 22:50:01

Re: Message surprenant sur un de mes albums

#10 2014-04-19 22:54:52

Re: Message surprenant sur un de mes albums

#11 2014-04-19 23:58:31

Re: Message surprenant sur un de mes albums

a6tole a écrit:

#12 2014-04-20 00:08:12

Re: Message surprenant sur un de mes albums

#13 2014-04-22 19:20:56

Re: Message surprenant sur un de mes albums

#14 2014-04-28 21:41:16

Re: Message surprenant sur un de mes albums

#15 2014-04-30 16:54:55

Re: Message surprenant sur un de mes albums

Pied de page des forums