[Résolu] [Résolu] [Résolu] intrusion, envoi de spam via un script php

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by josem on

Bonjour, j'ai un site de test en drupal 7.
Il y a quelqu'un qui a inseré un script php dans le module flexslider et envoi du spam a partir de mon site.
Il est inseré dans : /public_html/sites/all/modules/flexslider/theme/globa.php et le script s'appelle donc globa.php

Suite a l'avertissement de mon hebergeur de l'envoi de spam , j'ai effacé le script, changé tous les passwords et updaté completement le drupal, mais le pb recommence au bout de quelque jours quand je remets le site en ligne.

Pensez-vous qu'il y a une autre solution que tout effacer et remetre au nouveau le site en ligne a partir d'une copie ancienne?
Avant ces pbs de https://www.drupal.org/SA-CORE-2014-005.
Il y a des choses a verifier en priorité ?

Le site est hors service et le public.html a eté renommé

Merci d'avance

Forum : 
Support général
Version de Drupal : 
7.x
Tags : 
piratage

Soumis par vincent59 le 25 Novembre, 2014 - 17:09

D'après ce qu'on a pu lire, les injections SQL ont créé des utilisateurs admin, et ajouté des fichiers .php un peu partout dans les sous-répertoires de modules. Il y a aussi potentiellement des entrées dans le menu_router.

Si tu peux, tu fais une installation de la 7.34 et de tous les modules existants (juste les sources), puis tu copies le fichier settings.php et le répertoire sites/default/files dans la nouvelle arborescence.

Ensuite on renomme l'ancien répertoire de base en _old et la 7.34 en base, et il ne reste plus qu'à tester.

Sinon au pire, c'est la reprise des backups avant le 15/10

Soumis par josem le 3 Décembre, 2014 - 11:11

Bonjour Vincent quand tu dis de copier (juste les sources), tu veux dire de copier les fichiers des modules au format .tar.gz dans le nouveau rep sites/all/modules ???
Il faudra copier les anciens dossiers themes et libraries chacun dans son rep au meme format ?
Merci

Soumis par vincent59 le 3 Décembre, 2014 - 11:44

Oui, le plus sur est de refaire une installation des fichiers (Drupal + modules + thèmes) et rebrancher sur la base de données.

J'ai vu le même cas sur un site qui a envoyé des milliers de spam.
J'avais environ 40 fichiers infectés, soit des nouveaux fichiers, soit des fichiers existants modifiés, dans les modules et le thème.
Tous les fichiers infectés dataient de la même journée / minute, et ils contenaient la chaine PCT4BA6ODSE

J'avais vu la résolution ici : http://allabouttodd.com/drupal/hacked-PCT4BA6ODSE

Soumis par William le 26 Novembre, 2014 - 09:57

Bonjour,
Tu peux aussi :
- Rapatrier les fichiers du serveur sur le PC.
- Faire une recherche sur 'type:PHP'
- Trier par date ces fichiers PHP.
Tous les fichiers pirates seront regroupés à la même date / heure que globa.php. Il faut alors les repérer sur le host et les supprimer.

Soumis par josem le 30 Novembre, 2014 - 18:15

Bonjour William,
je n'ai pas pu apliquer ta methode parce que j'avais effacé le premier fichier globa.php.
De plus quand tu recuperes les fichiers du site web par ftp et tu les copies sur le disque dur local ils prennent la date et heure du repatriment. Donc j'ai decidé la methode de recuperer les site a partir d'un backup.
Mais j'ai quelques pbs et je vais ouvrir un autre fil.
Merci de ta réponse.

Soumis par William le 1 Décembre, 2014 - 09:10

Préserver l'horodatage
Effectivement, je n'avais pas précisé que sur FileZilla, en allant sur 'Transfert'', il faut cocher 'Préserver l'horodatage des fichiers transférés et l'on garde la date où les fichiers sont déposés.

Soumis par josem le 18 Décembre, 2014 - 19:36

Bonjour, je ne sais pas pourquoi, ayant lu que c'était un pb d'injection sql,je pensais que la bdd était compromise.
Donc j'ai pas fait attention et au premier essai je l'ai effacé sans avoir une copie de sauvegarde actualisée. Ça a mal demarré.
Par la suite je n'ai pas pu apliquer la methode proposée par William car j'avais aussi rapidement effacé le script php incriminé.
J'ai essayé la methode de vincent59 mais j'ai du mal me prendre et j'avais des pbs de bdd, differents messages de tables manquants.
Il ne me restait plus que a tout effacer et remonter la derniere sauvegarde. C'est ce que j'ai fais non sans difficultées.
Merci a tous et specialment a vincent59 et william.
Et n'oublier pas de faire vos updates de versions car n'importe quel site peut etre ataqué.