NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
19 visiteur(s) et 1 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 449 321
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» authentificate ?
Nouveau sujet
authentificate ?#24181Répondre
9Contributeur(s)
3 Modérateur(s)
Bege
Citation : mimit54
Le canard est toujours vivant!!
J'ai transféré tout le contenu du site sur un autre hébergement, pas de pb. Je sais que bege nous a fait part de tout refaire, alors je voulais savoir si l'opération a été concluante avant de m'y lancer.
Le canard est toujours vivant!!
J'ai transféré tout le contenu du site sur un autre hébergement, pas de pb. Je sais que bege nous a fait part de tout refaire, alors je voulais savoir si l'opération a été concluante avant de m'y lancer.
ah oui j'ai recréé une nouvelle base de donnée et j'ai réinstallé Sable évolution tout neuf dessus et tout est bon,
tout? non,... juste que je n'arrive toujours pas intégrer des photos dans la lettre d'information :-?
c'est à dire que j'arrive l'intégrer et quand je fais un test je la voit affichée, en plus elle se trouve bien dans le répertoire users_private, mais quand la lettre arrive par email il y a une croix rouge à la place de l'image :-?
mimit54
Du neuf 8-)
Je pense avoir identifié le malin. Merci la communauté car je n'y suis pour pas grand chose, de plus comme je pratique que le strict minimum l'anglais (trop vieux et ce n'est plus maintenant que je vais m'y mettre, tant pis!!) , je ne comprends pas tout ce qui est raconté dans les forums ci-dessous.
Alors, je vous soumets le truc, si celà peut servir, j'ai compris qu'un fichier appelé copper.php a éte glissé dans editeur\tiny_mce\themes\advanced\docs\en\images (je l'ai identifié et viré) mais je ne sais pas comment.
Voici les adresses où j'ai récupére l'info.
http://www.forum.nfrance.com/t4948-Hack.html
http://www.simplemachines.org/community/index.php?topic=291486.0
En tous les cas, le fichier en question retiré, je n'ai plus de problème et mon site est nickel.
Merci NPDS et toute l'équipe. 8-) :=! :=!
Je pense avoir identifié le malin. Merci la communauté car je n'y suis pour pas grand chose, de plus comme je pratique que le strict minimum l'anglais (trop vieux et ce n'est plus maintenant que je vais m'y mettre, tant pis!!) , je ne comprends pas tout ce qui est raconté dans les forums ci-dessous.
Alors, je vous soumets le truc, si celà peut servir, j'ai compris qu'un fichier appelé copper.php a éte glissé dans editeur\tiny_mce\themes\advanced\docs\en\images (je l'ai identifié et viré) mais je ne sais pas comment.
Voici les adresses où j'ai récupére l'info.
http://www.forum.nfrance.com/t4948-Hack.html
http://www.simplemachines.org/community/index.php?topic=291486.0
En tous les cas, le fichier en question retiré, je n'ai plus de problème et mon site est nickel.
Merci NPDS et toute l'équipe. 8-) :=! :=!
Message édité par : mimit54 / 24-02-2009 15:38
mimit54
As tu bien lancé la recherche sur ton site rapatrie, ce n'est pas sur qu'il soit au même endroit que moi. Tu as vu sur un des forums que je site, il était sous tiny (bizarre!), mais ailleurs.
Bonne chance, car on respire après ça :-)
Bonne chance, car on respire après ça :-)
mimit54
Tout à fait, et c'est encore un grand mystere, je guette tous les jours si il ne réapparait pas. C'est assez facile, car à part aller voir sous Tiny, tous mes fichiers *.php étaient modifiés (regarder date modif), alors je guette!!
J'ai désactivé filemanager et Coppermine est à jour.
J'attends de voir :-? :-?
J'ai désactivé filemanager et Coppermine est à jour.
J'attends de voir :-? :-?
Bege
Citation : Hotfirenet
ouala vache ca arrache ca !!!
ouala vache ca arrache ca !!!
hein? mais de quoitesque?
oup's! oublié de me logger
gsguy
Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!jscript!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!jscript!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
Message édité par : gsguy / 09-07-2009 12:03
Hotfirenet
Citation : gsguy
Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!!jscript!!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!!jscript!!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
Message édité par : gsguy / 09-07-2009 12:03
c sur le site qui est dans ton profil sur la badminton et sous joomla ? ;)
developpeur
ca ressemeble à une instal d'un morceau de joomla / un morceau du cache de NPDS, ... ????
gsguy
Oups désolé 2 fois :-(
le tiny dont les dossiers contenait les fichiers infectés étaient bien par contre celui d'un répertoire qui contenait un joomla non installé (juste téléchargé sur l'hébergement)
J'ai conservé le fichier admin.php de NPDS qui contenait au débur le code parasite et je le tiens à votre disposition
- Je ne pouvais pas répondre j'avais une coupure adsl!
- et surtout mon profil n'était pas à jour !!!
Je l'ai mis à jour car il contenait l'adresse d'un ancien site NPDS que j'avais créé dont je ne m'occupe plus et qui a effectivement été migré par mes successeurs sous Joomla Honte à moi :-)
Le site sur lequel j'ai décrit le problème est bien un site NPDS tout simple car exckusivement consacré au téléchargement d'un logiciel
le tiny dont les dossiers contenait les fichiers infectés étaient bien par contre celui d'un répertoire qui contenait un joomla non installé (juste téléchargé sur l'hébergement)
J'ai conservé le fichier admin.php de NPDS qui contenait au débur le code parasite et je le tiens à votre disposition
Message édité par : gsguy / 10-07-2009 07:07
gsguy
En continuant l'examen de l'étendue des dégâts il s'avère que tous les scripts php de NPDS qui sont à la racine du site sont infectés de la même manière!
Pire ce sont tous les php qui semblent infectés !
Je mets le site en maintenance pour tout réinstaller dans un 1er temps
Pire ce sont tous les php qui semblent infectés !
Je mets le site en maintenance pour tout réinstaller dans un 1er temps
Bege
j'avais aussi refait entièrement mon site et il a été piraté une deuxième fois,
alors j'ai tout ré installé encore une fois et j'ai mis "Crawltrack"
http://www.crawltrack.net/fr/
et depuis je n'ai plus aucun souci :=!
alors j'ai tout ré installé encore une fois et j'ai mis "Crawltrack"
http://www.crawltrack.net/fr/
et depuis je n'ai plus aucun souci :=!
gsguy
Merci beaucoup !
Je vais l'installer aussi car là en fait ce sont les
3 sites qui sont sur le même hébergement dont 2 non NPDS (développés avec Code Charge Studio) http://www.trot-pedigree.net/ et http://www.huilerie49.fr/qualifs/ qui ont tous les scripts php infectés !
Je vais l'installer aussi car là en fait ce sont les
3 sites qui sont sur le même hébergement dont 2 non NPDS (développés avec Code Charge Studio) http://www.trot-pedigree.net/ et http://www.huilerie49.fr/qualifs/ qui ont tous les scripts php infectés !
gsguy
oui j'avais tout bloqué pour procéder aux réinstallations
Là les 2 sites non NPDS sont regénérés et les liens à nouveau actifs
Là les 2 sites non NPDS sont regénérés et les liens à nouveau actifs