Infections ? Vraies fausses alertes ?

AMUA · September 11, 2016, 04:50:58 PM

Bonjour tout le monde,

Le dernier scan anti-infections de notre site (wordpress) par le plugin installé dessus "Anti-Malware from GOTMLS.NET" (capture 1 infra) signale que des infections (backdoors ) sont localisées au niveau de certains fichiers de notre forum smf hébergé au même endroit chez ovh (capture 2 infra).

S'agit-il, s'il vous plaît, d'infections, ou de faux positifs ?

Avant de lancer la désinfection, avec le risque d'endommager le forum (c'est arrivé une fois

), nous sollicitons vos avis.

Merci infiniment de votre aide et bonne semaine !

Capture 1

Capture 2

alexetgus · September 12, 2016, 09:35:20 AM

Salut,

Apparemment, tu as installé un mod qui a fait des sauvegardes des fichiers qu'il a modifié. C'est ce que ta capture semble indiquer.
Est-ce que les fichiers modifiés l'ont été pour ouvrir une porte sur ton forum ? Je ne peux pas te répondre et personne ne le pourra d'après une capture.

Il faudrait voir le contenu des ces fichiers et les comparer à la version originale ou "post-installation" d'un mod.

Vu que tu es sous WordPress, je tiens à attirer ton attention sur l'installation de mods ou plugins en version "nulled" qui ouvrent des backdoors systématiquement !
Si tu as installé quelque chose de payant sur ton WordPress en version "gratuite" ou "Nulled", effectivement, il est plus que probable que tu sois infecté.
Sinon, ne panique pas...

A toi d'être honnête et de tout nous dire. Sinon, tu prends le risque d'être piraté, de voir ton site utilisé comme relais mail pour du spam, etc.

maximus23 · September 12, 2016, 01:50:38 PM

Bonsoir,

Pas de fichiers modifiés depuis des lustres je viens de vérifier.

Ton plug-in nous reporte chaque fois des fichiers différents pour finir je me pose la question de sa fiabilité.

alexetgus · September 12, 2016, 05:39:38 PM

Qu'est-ce que c'est emmerdant ces plugins qui sortent une alerte si les sauts de ligne passent du format Windows au format Unix ou des singeries similaires...

Ce qui est bien, c'est d'avoir Git et de faire tourner SMF comme un projet Git.
Comme ça, la moindre modification, on la voit ! Et c'est facile de revenir sur une erreur.

AMUA · October 04, 2016, 04:34:34 AM

Bonjour Maximus23,
Bonjour toutes et tous,

Toutes mes excuses pour la réponse tardive. Je n'étais plus aux manettes en raison d'un agenda chargé.

Oui, c'est un plugin de sécurité fait pour wordpress : je me pose la question de savoir si hors wordpress, il n'aurait pas tendance à faire des erreurs.

Je suis en contact avec son créateur Eli par eMail (Eli vit à Hawaï d'après ce que j'ai compris) et il est étonné lui aussi par ce qui se passe.

Le scan de ce matin montre de nouvelles menaces, avec l'apparition cette fois de PAYPAL !!!!

Que vient faire paypal sur notre forum sans aucun but lucratif ?? Quelqu'un chercherait-il à détourner notre espace et faire payer une inscription ?

En voici ci-bas les captures ; j'attends vos avis avant de me remettre en contact avec Eli.

Merci et très bonne journée à vous

maximus23 · October 04, 2016, 12:10:15 PM

Bonjour,

Tu n'as pas vu que la mise à jour du forum en version 2.0.12 a été faite ?

Donc ce que tu donnes ici comme retour sur des fichiers SMF est impossible

En ce qui concerne Paypal il y a un script dans subscription ce qui est parfaitement correct.

Donc voilà en ce qui me concerne le plug-in que tu utilises n'est pas fiable du tout.

Bonne fin de soirée.

AMUA · October 05, 2016, 02:28:43 AM

Quote from: alexetgus on September 12, 2016, 09:35:20 AM
Salut,

Apparemment, tu as installé un mod qui a fait des sauvegardes des fichiers qu'il a modifié. C'est ce que ta capture semble indiquer.
Est-ce que les fichiers modifiés l'ont été pour ouvrir une porte sur ton forum ? Je ne peux pas te répondre et personne ne le pourra d'après une capture.

Il faudrait voir le contenu des ces fichiers et les comparer à la version originale ou "post-installation" d'un mod.

Vu que tu es sous WordPress, je tiens à attirer ton attention sur l'installation de mods ou plugins en version "nulled" qui ouvrent des backdoors systématiquement !
Si tu as installé quelque chose de payant sur ton WordPress en version "gratuite" ou "Nulled", effectivement, il est plus que probable que tu sois infecté.
Sinon, ne panique pas...

A toi d'être honnête et de tout nous dire. Sinon, tu prends le risque d'être piraté, de voir ton site utilisé comme relais mail pour du spam, etc.

Bonjour Alexetgus,

Nous utilisons UpdraftPlus, dans sa version gratuite, pour sauvegarder le site.

Le thème Enigma pro de Weblizar est une formule premium, et le staff est très sérieux : réactivité, rapidité...

De Paris : bonne journée

AMUA · October 05, 2016, 02:31:45 AM

Quote from: maximus23 on October 04, 2016, 12:10:15 PM
Bonjour,

Tu n'as pas vu que la mise à jour du forum en version 2.0.12 a été faite ?

...

Bonjour Maximus23,

Nous tenons à te remercier pour la mise à jour : c'est vraiment très sympa

Je vais contacter Eli et lui signaler les problèmes.

Encore merci !

Nous te souhaitons une très bonne journée

AMUA · October 11, 2016, 07:00:04 AM

Bonjour Maximus23,
Bonjour tout le monde,

Voici le contenu du message envoyé à Eli Scheetz, créateur du plugin de sécurité qui a découvert les backdoors (cf plus haut).

Blog de Eli : http://gotmls.net/

Je précise que le contenu de notre message n'est pas très clair (notre anglais n'est pas super, super : désolé) : nous faisons entièrement confiance à l'équipe du forum SMF francophone et la réponse de Maximus23 est comme d'habitude efficace, claire et précise ; toutefois, nous voulions informer Eli du problème mis en exergue par son plugin. Merci d'en tenir compte.

"Hello Eli,

The last scan of our web site some days ago flagged now 10 BACKDOORS in the sources of our forum (smf).

Please find enclosed the screenshots :

Like the last time (4 MYSTERIOUS BACKDOORS), I asked to a smf forum specialist if these are threats. He checked and answered me that they are only false positives.

(...)

Thank you. (...)"

Voici la réponse de Eli qui vit à Hawaï :

"The code in question are variable functions like these:

$value = $smcFunc['htmlspecialchars']($_POST['customfield'][$row['col_name']]);

and

$smcFunc['db_free_result']($request);

For all intense and purposes there is no practical reason for addressing those functions like that.
$smcFunc['htmlspecialchars'] should be just htmlspecialchars
and
$smcFunc['db_free_result'] should be just db_free_result

It is reasonable to assume that the developers of this code have set the variable:
$smcFunc['htmlspecialchars'] = "htmlspecialchars"
and
$smcFunc['db_free_result'] = "db_free_result"

However, this could quickly become dangerous if either of those elements in that array were to be set to "eval" or "assert" for example. This possible threat should not warrant an "automatic fix", s that will likely break your forum, but this code should be simplified and secured by changing:
$smcFunc['htmlspecialchars'] to htmlspecialchars
and
$smcFunc['db_free_result'] to db_free_result

Alternatively, you could just ignore this by adding the forum folder to the list of folders to skip when running the scan. You could also skip the cache folder ( I bet that take a long time to scan).

Aloha, (...)"

maximus23 · October 11, 2016, 09:45:33 AM

Bonjour,

Ce qui est indiqué ne concerne en aucun cas Smf car ici on a notre propre codage de fonctions sql et php.

Donc il faut additionner cela aux fichiers qui doivent être exclus du scan comme indiqué en fin de texte.

AMUA · October 11, 2016, 09:47:01 AM

Bonjour Maximus,

Lu ! Merci !

Très bonne journée

News:

Infections ? Vraies fausses alertes ?