Les Forums de Passions Métrique et Etroite !!

par **Tyrphon** » 01 05 2009 à 08:10

Je me suis aperçu que Avast trouve un virus sur mon site Tyrphon-trains, alors que Bitdefender, que j'utilise sur un autre ordi, ne trouve rien de louche.
Je précise que ce supposé virus ne touche que la page d'accueil. Si on attaque directement ma galerie Coppermine, pas de problème. Exemple:

http://www.tyrphon-trains.fr/Coppermine/index.php

Quelqu'un peut-il me dire si d'autres anti-virus réagissent à mon site? Qui pourrait m'aider à résoudre le problème?

par **pelican** » 01 05 2009 à 09:07

va dans l'rétro, Tyrphonaaaas ...

par **Rodolphe** » 03 05 2009 à 18:49

À part le fait que tu devrais ajouter le type d'encodage dans l'entête, aucun souci à signaler sur ta page d'accueil.

Rodolphe

par **Tyrphon** » 04 05 2009 à 08:27

Heu, ça veut dire quoi précisément, ajouter le type d'encodage dans l'en-tête?

En attendant, je renvoie directement à ma galerie Coppermine dans ma signature...

par **La Mouette** » 04 05 2009 à 08:37

Dans l'entête tu peux preciser la nature du jeu de caractères que tu utilises pour la redaction de tes pages, ça evite les caractères cabalistiques affichés dans las navigateurs qui ne savant pas le determiner automatiquement.

A l'interieur de ton entête (entre les balises <head> et </head>), tu dois ajouter une ligne du genre :

<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">

En gras, le jeu de caractères, ça peut etre utf-8, latin, etc, ...

par **Tyrphon** » 04 05 2009 à 13:23

Merci la Mouette, j'essaierai de voir ça à tête reposée.
Avast me dit que ce trojan s'appelle HTML:IFrame-BV. ça te dit quelque chose?

par **Rodolphe** » 04 05 2009 à 14:10

Sur ta page d'accueil toujours tu as une iframe après les différents liens vers PME etc.
C'est toi qui a ajouté ça ?
Tu devrais supprimer et tester à nouveau.

Rodolphe

par **Rodolphe** » 04 05 2009 à 14:17

Je confirme que tu dois bien supprimer ce qui commence par :

Code: Tout sélectionner: <iframe width="1" height="1" src="http://ccfe

C'est bien une saloperie qui tente de se télécharger sur le poste du visiteur.
Ce qui peut impliquer que ton serveur a été piraté puisque ce code a été ajouté.

Je n'avais pas détecté car étant sous linux ça ne me fait ni chaud ni froid, mais le chasseur de bugs de Firefox vient de m'alerter.

Rodolphe

par **PME** » 04 05 2009 à 14:50

Gaffe avec la version de Coppermine que tu utilises. IL me semble que certaines versions un peu anciennes n'encodent pas les caractères spéciaux HTML (< et > notament) et de ce fait ne permettent pas le controle du contenu renvoyé au serveur par les utilisateurs, par le biais notament des commentaires.
Il est plus que probable que cette portion de code soit entrée dans ta page par ce biais, ce trou de securité (corrigé dans les versions recentes de Coppermine) associé à une definition souvent laxiste des CHMOD des repertoires de ton site (fonctions qui gerent les droits de chaque dossier ou fichier de ton FTP entre les differents groupes d'utilisateurs (admin, groupe admin, exterieur)) et c'est la porte ouverte aux intrusions.

Pour info et sans entrer dans le detail, c'est bien une galerie coppermine un peu oubliée sur le site de PME qui a été à la base du piratage du début d'année et pas le forum lui même. :C1

PME

par **Sixtifs** » 04 05 2009 à 15:47

C'est dangereux les galeries de mine (de cuivre ou autres) abandonnées

Mèche courte

#B1

par **Tyrphon** » 04 05 2009 à 16:07

Bin, je ne sais pas la version de Coppermine que j'utilise. C'est OVH qui me l'a installé. Peut-être qu'il vaudrait mieux que je prenne la main et que j'utilise une version de Coppermine téléchargée chez moi, mais ça va me donner du boulot.
Après vérification, c'est semble-t-il la version 1.4.10
Par ailleurs, j'ai effectivement eu un intrus sur ma galerie, mais je ne sais pas si ça peut être à l'origine de l'ajout signalé par Rodolphe. Comme je n'avais pas interdit formellement tout commentaire dans les paramètres de Coppermine, un magasin de vente d'articles de Noël en ligne avait réussi à caser plusieurs dizaines de commentaires par photo (!) vantant ses articles! En décembre, ça avait fait dépasser le débit autorisé et fermer temporairement l'accès au site. Le temps de retrouver comment on accède au texte de mon site (et oui! :oups2:

Je ne suis vraiment pas là dedans comme un Pélican dans l'eau...) et je vais déjà effacer le corps du délit.

par **La Mouette** » 04 05 2009 à 16:23

1.4.10 ça m'a pas l'air d'etre à jour ça.

Edit :

la derniere version est la 1.4.22 qui par rapport a la precedente (1.4.21) corrige une grosse faille de sécurité. Le site de coppermine recommande la mise a jour de toutes les galeries vers la 1.4.22 "as soon as possible" !!

par **Rodolphe** » 04 05 2009 à 16:56

Pas la peine de chercher plus loin. Les commentaires douteux correspondent très certainement à l'intrusion, effectivement rendue possible parce que la version utilisée n'est pas à jour.

Aide possible en privé.

Rodolphe

par **pelican** » 04 05 2009 à 17:55

Rodolphe est comme un Pélican dans l'eau concernant internet !

par **Zébu** » 04 05 2009 à 18:43

En réalité, un pélican c'est pas dans les airs (quoique ça m'a toujours étonné, vu le poids du bestiau) et sur l'eau ? #B9

Dans l'eau, j'aimerais le voir avec un tuba !
:rod_siflet

Les Forums de Passions Métrique et Etroite !!

Un cheval de troie sur tyrphon-trains?

Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Re: Un cheval de troie sur tyrphon-trains?

Qui est en ligne