Bonjour/Bonsoir,
Bonjour, après quelques mois de déboires avec notre site et sa galerie piwigo, je viens d'avoir une alerte de la présence d'un code malicieux (virus/trojan ?) dans un fichier ajouté à >language>he_IL>css.php
J'ai déjà supprimé le fichier qui n'existe pas dans le dossier d'origine...
Les mots de passe avaient tous été changés récemment et tout se passait bien, je sais plus comment fermer définitivement la porte à ses attaques, les pc de ceux qui bossent et ont accès sont propres (plussiuers fois scannés à l'antivirus et à l'antimalware etc.)
Est-ce une faille inconnue qui pourrait permettre ces "intrusions/injections" ?
Voilà le message reçu avec "wordfence" qui gère la sécurité du site (WP à la base).
This file appears to be installed by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: "$avj = str_replace("j","","sjtrj_jrjejpljajcje"); $zs="FsKCRfUE"; $bu="Y21kJ10pOw==";". The infection type is: PHP:Backdoor/sjtrj
Merci.
Version de Piwigo: 2.8.2
Version de PHP: 5.6.22
Version de MySQL: MySQL: 5.6.33
URL Piwigo: http://www.francecichlid.com/fiches-cichlidae/
Dernière modification par Benoit (2016-09-26 14:10:45)
Hors ligne
Bonjour,
As tu un autre CMS sur ton site ?
As tu vérifié si tu n'avais pas sur ces autre CMS des plugins avec des failles ?
Actuellement on a pas de faille en cours de résolution
Hors ligne
Le site est sous WP protégé par wordfence (http://www.francecichlid.com), il a été entièrement remis à niveau très récemment (15 jours 3 semaines), tous les plugins sont à jour, la base propre. Le site avait été très profondément piraté, et nous a donné du fil à retordre, il a fallut quasiment repartir de zéro.
Voilà ce que je peux dire.
Merci.
Hors ligne
Benoit a écrit:
Est-ce une faille inconnue qui pourrait permettre ces "intrusions/injections" ?
par définition c'est un peu compliquer à répondre à ça
ce que je lis de wordfence c'est qu'il compare les fichiers installés et ceux dispo en téléchargements, après le reste il vaut mieux le faire au niveau du serveur (logs, ban d'ip, etc) avec fail2ban etc
ça n'empêche pas du tout qu'il y ait une faille sur un plugin WP: le hacker voyant wordfence, il va logiquement modifier les autres script et donc pourquoi pas piwigo. Bon là il fait le boulet et modifie aussi WP.
Bien sûr une faille inconnue à n'importe quel niveau peut exister (pas que les script installés, mais tout ce qui est sur le serveur!)
vérifier les logs ; corrélez date de modification et IP; réinstallez le serveur ; https://mediatemple.net/community/produ … ware-files
Hors ligne
avez vous contacté votre fournisseur ? a-t-il confirmé que vous étiez le seul concerné sur ce serveur ?
Hors ligne