Drôle de nom pour un post, mais en fait c'est le nom de l'attaque qu'a reçu le mamieserv.

Comme il se trouve que par je ne sais quel tour de passe passe de google ce blog tombe dans les premiers résultats de la recherche en francais sur ce mot, je vais faire de mon mieux pour regrouper toutes les infos que je trouve la dessus.

D'après ce que j'ai pu lire ce matin, la faille proviendrait de coppermine (ce n'est qu'une supposition, certains penseraient qu'elle proviens de joomla, de phpbb ou de vbulletin)
Il se trouve que j'ai un joomla et plusieurs versions de phpbb sur le mamieserv, ainsi qu'une galerie coppermine.
Mais pas de vbulletin.

Il n'a pas encore été défini comment l'attaque a été possible visiblement, mais a prioris pour la supprimer (supprimer les effets, pas la faille) il suffirait de supprimer les lignes ajoutées.

vu que quasiment tous les fichiers php et html ont été touchés, bonne chance :(

(je vais essayer de faire un petit script qui nettoie tout ça tout seul, je le mettrais par ici).

Il y a eu visiblement plusieurs types d'attaques, pour certains, un fichier .zip ( 142739_298w3.zip pour être précis) aurait été ajouté dans un dossier de coppermine, ce fichier étant en fait un fichier php renommé en .zip (ouvrez le avec le bloc notes si vous l'avez).
Cependant je n'ai pas trouvé ce fichier (ni aucun .zip suspect) sur le mamieserv, donc dans mon cas c'est autre chose.

Pour le moment j'ai coupé le serveur web pour être sur de ne pas être un vecteur de contamination...

Plus d'infos quand j'en aurais trouvé d'autres.

Bon, petit edit pour ajouter un lien vers un script php qui nettoie a peu près bien, je l'ai un poil modifié pour qu'il nettoie les .htm et les .html (sinon il ne passe que sur les .html)
la version modifiée ici et l'original là.