Virus detecté : dolibarr v20.1.zip - chargement vers CPANEL via Filemanager

filemanager_cpanel_error

Bonjour,

Lors du chargement du fichier dolibarr-20.0.1.zip sur File Manager via CPANEL, une erreur apparait après un scan et empêche le chargement :
Le chargement du fichier dolibarr-20.0.1.zip, car celui-ci contient un virus : {HEX}Malware.Expert.php.base64.decode.passthru.UNOFFICIAL FOUND

Est ce bien un malware ou un fichier interne à Dolibarr ?
Merci d’avance.

1 « J'aime »

Bonjour,

d’où provient votre fichier dolibarr-20.0.1.zip ?

Bonjour @Beers,

Il provient directement du site officiel via le lien de téléchargement sourceforge.
Pour information, j’ai lancé un scan via l’outil Umunify AV+ (un scanner de malware) sur Cpanel, rien n’a été détecté. Dans ce cas, en particulier, cela pourrait être une fausse alerte, mais je préfère que nous examinions attentivement ce détail. Merci

En examinant attentivement mes recherches, j’ai pu effectuer un scan pour vérifier s’il y a ou non un virus. Le fichier qui semble être problématique se trouve dans le dossier /htdocs/core/lib/functions.lib.php et est considéré comme un virus.
D’après quelques vérifications, il semblerait que quelques fonctions peuvent être considéré comme des failles de sécurité. A vérifier.

Bonjour

Il y a une issue sur github Bug with FTP Upload · Issue #31519 · Dolibarr/dolibarr · GitHub

A suivre

Fred

1 « J'aime »

Dans ma version 20.0.0 et dans la version en développement que je vois sur Github, je ne trouve aucun décodage ni évaluation de code en base64. Pourriez-vous copier-coller où cela apparaît chez vous ? Ou faire une capture d’écran ?

Le codage en base64 est très utile dans certains contextes. Mais bien sûr, il faut l’utiliser avec précaution.

Si vous avez réellement un base64_decode() dans ce fichier functions.lib.php, je pense que « quelqu’un » vous l’a injecté malicieusement. Cela peut se produire suite à une attaque de type « man in the middle », ou si votre propre machine ou serveur est compromis, etc.

C’est pour cette raison qu’il serait nécessaire que vous partagiez exactement quelles lignes de code dans « votre » version de ce fichier utilisent le codage en base64. D’après ce que j’ai pu voir dans ma version et dans la dernière version sur Github, il n’y en a aucune dans ce fichier.

Cordialement,
Sergi

1 « J'aime »

Bonjour,
J’ai trouvé que c’était le fichier htdocs/core/lib/functions.lib.php qui déclenchait cette alerte. En fouillant un peu, j’ai trouvé que c’est la ligne 10 370

$forbiddenphpfunctions = array_merge($forbiddenphpfunctions, array("base64_decode", "rawurldecode", "urldecode", "str_rot13", "hex2bin")); // decode string functions used to obfuscated function name dans dol_eval()

@eldy a testé de contourner le problème en remplaçant la ligne par
$forbiddenphpfunctions = array_merge($forbiddenphpfunctions, array("base64"."_"."decode", "rawurl"."decode", "url"."decode", "str."_rot13", "hex"."2bin")); // no comment et ça fonctionne.

Le support de mon hébergeur avec qui j’ai échangé sur le sujet me dit qu’ils ont remonté l’information à cpanel pour que ce faux positif soit corrigé.

6 « J'aime »

Bonjour tout le monde,
Eldy a remplacé la ligne qui posait problème par la ligne concaténée dans la version de developpement. Donc même si cpanel ne corrigeait pas le problème, ça sera quand même à nouveau fonctionnel dans les prochaines versions

1 « J'aime »