Piwigo.org

Benoit · 2016-09-26 14:03:15

Bonjour/Bonsoir,

Bonjour, après quelques mois de déboires avec notre site et sa galerie piwigo, je viens d'avoir une alerte de la présence d'un code malicieux (virus/trojan ?) dans un fichier ajouté à >language>he_IL>css.php
J'ai déjà supprimé le fichier qui n'existe pas dans le dossier d'origine...
Les mots de passe avaient tous été changés récemment et tout se passait bien, je sais plus comment fermer définitivement la porte à ses attaques, les pc de ceux qui bossent et ont accès sont propres (plussiuers fois scannés à l'antivirus et à l'antimalware etc.)
Est-ce une faille inconnue qui pourrait permettre ces "intrusions/injections" ?

Voilà le message reçu avec "wordfence" qui gère la sécurité du site (WP à la base).

Code:

This file appears to be installed by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: "$avj = str_replace("j","","sjtrj_jrjejpljajcje"); $zs="FsKCRfUE"; $bu="Y21kJ10pOw==";". The infection type is: PHP:Backdoor/sjtrj

Merci.

Version de Piwigo: 2.8.2
Version de PHP: 5.6.22
Version de MySQL: MySQL: 5.6.33
URL Piwigo: http://www.francecichlid.com/fiches-cichlidae/

Dernière modification par Benoit (2016-09-26 14:10:45)

ddtddt · 2016-09-26 15:48:14

Bonjour,

As tu un autre CMS sur ton site ?

As tu vérifié si tu n'avais pas sur ces autre CMS des plugins avec des failles ?

Actuellement on a pas de faille en cours de résolution

Benoit · 2016-09-26 16:13:30

Le site est sous WP protégé par wordfence (http://www.francecichlid.com), il a été entièrement remis à niveau très récemment (15 jours 3 semaines), tous les plugins sont à jour, la base propre. Le site avait été très profondément piraté, et nous a donné du fil à retordre, il a fallut quasiment repartir de zéro.
Voilà ce que je peux dire.

Merci.

flop25 · 2016-09-27 10:53:01

Benoit a écrit:
Est-ce une faille inconnue qui pourrait permettre ces "intrusions/injections" ?

par définition c'est un peu compliquer à répondre à ça

ce que je lis de wordfence c'est qu'il compare les fichiers installés et ceux dispo en téléchargements, après le reste il vaut mieux le faire au niveau du serveur (logs, ban d'ip, etc) avec fail2ban etc
ça n'empêche pas du tout qu'il y ait une faille sur un plugin WP: le hacker voyant wordfence, il va logiquement modifier les autres script et donc pourquoi pas piwigo. Bon là il fait le boulet et modifie aussi WP.
Bien sûr une faille inconnue à n'importe quel niveau peut exister (pas que les script installés, mais tout ce qui est sur le serveur!)
vérifier les logs ; corrélez date de modification et IP; réinstallez le serveur ; https://mediatemple.net/community/produ … ware-files

Benoit · 2016-09-27 18:44:49

Nous sommes sur un mutualisé malheureusement... :/

Merci :)

flop25 · 2016-09-27 18:46:06

avez vous contacté votre fournisseur ? a-t-il confirmé que vous étiez le seul concerné sur ce serveur ?

Benoit · 2016-09-27 18:47:13

Quand nous avons eu la grosse attaque, ils nous aidé à nettoyer notre base, mais ne nous ont pas dit si il y avait eu d'autres intrusions...

Piwigo.org

Annonce

#1 2016-09-26 14:03:15

Nouveau code malicieux détecté

Code:

#2 2016-09-26 15:48:14

Re: Nouveau code malicieux détecté

#3 2016-09-26 16:13:30

Re: Nouveau code malicieux détecté

#4 2016-09-27 10:53:01

Re: Nouveau code malicieux détecté

Benoit a écrit:

#5 2016-09-27 18:44:49

Re: Nouveau code malicieux détecté

#6 2016-09-27 18:46:06

Re: Nouveau code malicieux détecté

#7 2016-09-27 18:47:13

Re: Nouveau code malicieux détecté

Pied de page des forums