NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
29 visiteur(s) et 1 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 110 200 832
- Nb. de membres 8 696
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» authentificate ?
Nouveau sujet
authentificate ?#24181Répondre
9Contributeur(s)
3 Modérateur(s)
Hotfirenet
Citation : gsguy
Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!!jscript!!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
Je viens de rencontrer le même problème aujourd'hui sur mon site lors de la modification d'un article (apparition d'un écran avec un bouton authenticate et impossibilité d'enregistrer les modifications)
J'ai rapatrié mon site et cherché en vain un fichier copper.php
Après recherche j'ai trouvé dans un dossier joomla intitulé ja et inutilisé (version non installée) dans lequel dans un sous-répertoire
plugins\editors\tinymce\!!!jscript!!!s\tiny_mce\themes\advanced\images\xp
j'ai
2 fichiers php
un appelé s.php qui commence par <?php eval(gzinflate(base_64_decode ...
un second appelé style.css.php qui commence par <?php eval(base_64_decode('
1 fichier 0 dans lequel entre balises html il y a l'adresse de mon site suivie de & reg
plus de 9000 fichiers :D dont les noms sont du style 0a945a2394f0ec8413d572646227c45a et qui contiennent tous des adresses de sites
Ce que je ne comprends pas et surtout ne em rassure pas c'est que la simple suppression de ce répertoire, qui n'avait aucun lien avec mon site NPDS, a débloqué la modification des articles du site et pourquoi le problème n'est-il apparu qu'aujourd(hui alors que les 9000 fichiers semblent montrer que le problème n'est pas récent !
J'allais oublier l'essentiel il y avait du code dans admin.php commençant aussi par
<? /**/eval(base_64_decode
Message édité par : gsguy / 09-07-2009 12:03
c sur le site qui est dans ton profil sur la badminton et sous joomla ? ;)
developpeur
ca ressemeble à une instal d'un morceau de joomla / un morceau du cache de NPDS, ... ????
gsguy
Oups désolé 2 fois :-(
le tiny dont les dossiers contenait les fichiers infectés étaient bien par contre celui d'un répertoire qui contenait un joomla non installé (juste téléchargé sur l'hébergement)
J'ai conservé le fichier admin.php de NPDS qui contenait au débur le code parasite et je le tiens à votre disposition
- Je ne pouvais pas répondre j'avais une coupure adsl!
- et surtout mon profil n'était pas à jour !!!
Je l'ai mis à jour car il contenait l'adresse d'un ancien site NPDS que j'avais créé dont je ne m'occupe plus et qui a effectivement été migré par mes successeurs sous Joomla Honte à moi :-)
Le site sur lequel j'ai décrit le problème est bien un site NPDS tout simple car exckusivement consacré au téléchargement d'un logiciel
le tiny dont les dossiers contenait les fichiers infectés étaient bien par contre celui d'un répertoire qui contenait un joomla non installé (juste téléchargé sur l'hébergement)
J'ai conservé le fichier admin.php de NPDS qui contenait au débur le code parasite et je le tiens à votre disposition
Message édité par : gsguy / 10-07-2009 07:07
gsguy
En continuant l'examen de l'étendue des dégâts il s'avère que tous les scripts php de NPDS qui sont à la racine du site sont infectés de la même manière!
Pire ce sont tous les php qui semblent infectés !
Je mets le site en maintenance pour tout réinstaller dans un 1er temps
Pire ce sont tous les php qui semblent infectés !
Je mets le site en maintenance pour tout réinstaller dans un 1er temps
Bege
j'avais aussi refait entièrement mon site et il a été piraté une deuxième fois,
alors j'ai tout ré installé encore une fois et j'ai mis "Crawltrack"
http://www.crawltrack.net/fr/
et depuis je n'ai plus aucun souci :=!
alors j'ai tout ré installé encore une fois et j'ai mis "Crawltrack"
http://www.crawltrack.net/fr/
et depuis je n'ai plus aucun souci :=!
gsguy
Merci beaucoup !
Je vais l'installer aussi car là en fait ce sont les
3 sites qui sont sur le même hébergement dont 2 non NPDS (développés avec Code Charge Studio) http://www.trot-pedigree.net/ et http://www.huilerie49.fr/qualifs/ qui ont tous les scripts php infectés !
Je vais l'installer aussi car là en fait ce sont les
3 sites qui sont sur le même hébergement dont 2 non NPDS (développés avec Code Charge Studio) http://www.trot-pedigree.net/ et http://www.huilerie49.fr/qualifs/ qui ont tous les scripts php infectés !
gsguy
oui j'avais tout bloqué pour procéder aux réinstallations
Là les 2 sites non NPDS sont regénérés et les liens à nouveau actifs
Là les 2 sites non NPDS sont regénérés et les liens à nouveau actifs
gsguy
Sauf erreur ;-) le site n'avait pas été "chmode" en 777 et il ne le semble pas plus aujourd'hui
Le seul chmod 777 que j'ai essayé de faire aujourd'hui c'est sur des dossiers de l'ancien site que pour des raisons inconnues (ou non maîtrisées ;-) ) je n'arrivais pas à supprimer
Maintenant pour le site NPDS je n'ai plus que les dossiers correspondant au site regénéré aujourd'hui et sans 777 normalement !
Merci
Le seul chmod 777 que j'ai essayé de faire aujourd'hui c'est sur des dossiers de l'ancien site que pour des raisons inconnues (ou non maîtrisées ;-) ) je n'arrivais pas à supprimer
Maintenant pour le site NPDS je n'ai plus que les dossiers correspondant au site regénéré aujourd'hui et sans 777 normalement !
Merci