Comme indiqué ici sur le forum de coppermine photo gallery, la mode est au piratage de galeries photos... pour y insérer une IFrame avec un script masqué.

L'adresse source de l'attaque est la 91.78.75.227 (adresse russe...), le 16 avril dernier, la cible était la galerie photo du site Archigny.NET. L'attaque a été entièrement journalisée par mod_security :

  • 19:15:16 début des tentatives d'injection SQL via l'entête cookie.
  • 19:15:27 téléchargement d'un mini shell PHP appelé zacosmall.php
  • modification de 3 fichiers index.php, displayimage.php et thumbnails.php
  • vérification du "bon fonctionnement" des modifications
  • 19:16:23 Fin de l'attaque

Actions prises :

  • Changement des mots de passes
  • Scan antivirus de routine
  • Mise à jour de la galerie vers la version actuelle après nettoyage
  • Tests et remise en ligne