Pour faire suite au fil http://moodle.org/mod/forum/discuss.php?d=116284 qui date de 2009.
Je viens d'être victime d'un piratage de ma plate forme (Moodle 1.9 - mise à jour en novembre suite au même problème, mais à l'époque je n'avais pas détecté qu'il s'agissait d'un piratage et avais tout réinstallé à neuf).
Quelques indications pour aider d'autres éventuelles victimes :
- les symptômes : fichiers pdf corrompus, ne s'ouvrent plus dans Moodle - fichiers .doc déposés dans les "devoirs" par les étudiants et téléchargés sur mon PC illisibles avec Word (ouverture de la boite de dialogue encodage, signes cabalistiques qq soit l'encodage choisi) - fichiers .docx ok, mais ouverture après un message d'alerte "contenu illisible"
- comment j'ai vu qu'il s'agissait d'un piratage : les fichiers php dans le dossier racine de mon moodle étaient tous à la date d'hier alors qu'ils avaient été installés en novembre
- j'ai recherché dans le forum et vu ce fil : http://moodle.org/mod/forum/discuss.php?d=116284
- j'ai alors édité les fichiers et vu du code ajouté
La solution :
- j'ai écrasé tous les fichiers système de Moodle avec des fichiers neufs (mise à jour de Moodle)
- j'ai viré le code suspect du fichier config.php : code avant la ligne <?php /// Moodle Configuration File + une ligne $CFG->passwordsaltmain = .... ; avec un mot de passe crypté
- j'ai modifié le CHDIR des fichiers du dossier racine de Moodle pour interdire l'écriture (404 au lieu de 604)
Apparemment, tout fonctionne à nouveau... à voir d'ici quelques jours quand tout le monde aura de nouveau fait les opérations qu'il a l'habitude de faire.
Je vais voir maintenant dans les logs du site pour tenter de voir d 'où vient l'attaque...
UNE DEMANDE : si quelqu'un a des conseils pour sécuriser davantage encore les choses, je suis preneur, car deux attaques en un an, cela me suffit amplement (la première était un peu de ma faute : Moodle pas à jour depuis un moment)