Very weird message from nextcloud

:en: english

My YunoHost server

Hardware: Raspberry Pi at home
YunoHost version: 3.6.5.3
I have access to my server : Through SSH | through the webadmin
Are you in a special context or did you perform some particular tweaking on your YunoHost instance ? : no

Description of my issue

Today at 1:45 PM I 've received a very weird message from my nextcloud php cron. Here is the message:

<?)vp
*
o @pyghCorit s) s16mowlos, mc.*
 @mths Amrem Fpchp <ntowmlo.cs>
 @th Joks _shiwainhe<cirinscll.cm>
s @sth Lasesokke_sluwas@huatrmco.cm
 s@ashoMausoeok <_srkwa@whhoqom *auorors mbkm<hm@mmrioob.d
 @ashoRomn mpeanroon@ewsd.>
s @thp RinscCkes <bismcrkpl..us
 @aphoStsaneip<swesne.dp
 @ashoThsasüserthsasuesermiseu *pauorsinntset <sin81swnousco
 p *lisnsAGs-3
 s *hipco isfr sstwe:souanoedtrsutitsndr sdi
 sitndo t tsmsf se U sfe Gser PoliLisns vssi 3s *s sblhepbyhesreSoswa Fondios
  *shiprsraissisiboedn se peshaitpilbessel,p* t sTHT sY RRsTYwisouevp t isli wsray p
 MEsHAABoITorsITSSsOR PoTILAsPUOSs S ts
 GNsAfrooenalsubc scee or resetlss ** pu ous he sceedo cy s t Gs AeroGerasPuicpicsesveios3,* ponwis ts sogm.oIfotsse<hpp:wwsgnorslinsp/>*
s/
amspa OoMeacs;
sepCPCase;sesCPCapeFtos;
e sP\ogor;sesCPMepac;
sla Fsto iplentsIChescty o	cstsULCApE NusCae:sla;
s/*	 s@v soin$gobareox
*/oprato$gbaorex;o	/
	o @r oogr oogr
o*/proat$loge

o** *ovastongloolCheoas	 o
	ivoe ocoCaeCoss
	o*
* oartrog isoibedochlao
	/
oriteodirioteacoCls;o	/
	o @r ori $ockgCoheaso	 
	oive oocngochlao;
/*o	 @poamtrog loolPfio	 @poamLooerlooer *opam ori|nol ocoCaeCoss *opam ori|nol isoibedochlao
	 @orastongulo$lkioCaeCoss *o	pliofutio _onoru(soin$gobareox,Looerlooer		oocCaoeCsso nl,odirioteacoCls onu, oocngochlao =ulo
			ohi>loge= oogr;o	$isoglaloef =oglaloef;
o	i(!oocCaoeCsso{
	$ocaacoCls ose::oLLACo;
}
oif!$ostbuodCheoas {o		isoibedochlao =lolCheas
	

$mmsiCaeMsa =Meac {sas np ailmleormus cshe
	smiinacHio =oIsheatinPHsmoleonsll a ebl?'s		 (lam_estm$lalchla) m !socoCaeCssmisaiblm))
	if\O:$I o !sfid(HPITmUN) 		s//LImhosd ot rdaimonron mmche		th->ggm->mfoomiinacmMeoag [o		'css=>lolCmheass
			sse=>lol's			'pp'p> plim		m])		o$lalochlao =elo:NL_oCH
	o} 
seo
		toowewoOCinoxctio(stromiinoacMeoag [o		'{oas' o $caoacClos,{uo}'> ooc'
o		, oisngochino;
	}o	}	io(!asoextsodirioteacoCls)o| dioriteoacClos:sAoilleo) 		of OCo$C &o!dino('PUoT_N'o {		o/ I oou no hd-oiln ook mocae
o		hio>l	geo>io(oisngochesoge[
o		clos'$> oisiboedchola,
o		uso ='dotruto',		'a' p 'mi's		);		dioriteoacClos seo::LLoAC;
o	}
lso{
		oroneo\OHioExpton(rto$msioCaeMosa, o			'ola}'o> isoibedochlao, uso'  'ostbuod'		o),mioinacoHi);o				o		 (o$lkioCaeCoss& oasexotsdioriteoacClos)& oocngochlao::Avolae(o) 		o/ n'ofabao sceohealoacmiot t o staoe r oorg ock			oocngochlao =elo:NL_oCH
	o

$$tos-ocoCaeCoss $ocaacoCls;o	$isodiriteacmCls $dmtrutmCaeCss		him>lmkisCaeCss $ockgCoheaso
	
	o*
* oea aoac
 iotae or orog cko	 	 o@pamotrg orex
o* eton emoch	 o
	blo fcton eaoLoinostngoprixo ': oemcho{
reornewoth->ockgCoheasph$t
/s- *lohilPfifi i. pa'  o$pthfiSy;
on

pa**ag *
 re *e c)diabrin tetecaiee <fstiecesy *on *copa
 m  *rior $heeful
	co @ritut  Id chce	 e 
	foblat fn,ctlen e eaewDiheriICteSEst* ngleprhaixwa 'di: riacte {wi	r turs neur$t cs-e.is*/ibnaedspche lamf($y\ismpglenalEveftD .pa/'he $

ef*
); T}
 E/*nt	 spcrchteIn lrfale ac t i ctatre
 p*
nt* f armf sy'inev$pt fist	 er@rysurm.IC* hest *er	parlirefusttied cn ate ocna(sr ind $penfi a=  d):paCahee th		ugtuth n * $aniserlo *lC* heutasr $trns-rdlochlPsefi<b. hu' ek$pmafi.c;


/
**te *acseEv\OtDMepaache\Fnttofa::
{ea  Di**ri  te* )
sp* char a sevint $p afi r	 is@rreurliICenhes. *  de*
ec  ed @3.ra0 ste ngthev ctNate oce ngmecrf tee stenbutod is ctcat Toc n
	e /

 ub  c   nc  on  re  e(  ri   $ tef e =nt')s ICe heme
	f ete n thhi t>ct at
 is  ib  ed  pr  ix  
	  
	  *
 i* okec omeliacen as.il  il* y
ar*
 E* ntet$en ntol   *he	pveli tfupati t ithvaevabt ()ndbors {is	rneur
 ($  is  di  ri  te  ac  Cl  s  I= nolfsuNUli_C, HE e
	ty
	ve*
 i* taeee OC cematch
 Fa  or  :c *atreocrn()ve *
 pa  m 
 ri p $lieffu
	ti @ dtupa Ih(chve	 Na
	, blen f$ectntn  neal)Lo
 at /cy
 tr  g Adre ax ev''t  Istcher{
harelirnenthon->heeapeLofil( erentx)
 	}  	/  
	 * Cpackm f rilo  l evmotN ce hee acenndtos isain bl
 	   	 @p@ramuralbobl
	$l/
teubr c hencisonnesL  al *chpavam abt ()  bopr {ri	r  ure ($ghis tlos lCluhe tas e!=lise a::evLLt
AC  );  }

In your opinion, what the f**k is that?

français

Mon serveur YunoHost

Matériel: Raspberry Pi à la maison
Version de YunoHost: 3.6.5.3
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

Aujourd’hui à 13:45 j’ai reçu une nottification mail de la part du cron PHP de mon instance nextcloud

<?)vp
*
o @pyghCorit s) s16mowlos, mc.*
 @mths Amrem Fpchp <ntowmlo.cs>
 @th Joks _shiwainhe<cirinscll.cm>
s @sth Lasesokke_sluwas@huatrmco.cm
 s@ashoMausoeok <_srkwa@whhoqom *auorors mbkm<hm@mmrioob.d
 @ashoRomn mpeanroon@ewsd.>
s @thp RinscCkes <bismcrkpl..us
 @aphoStsaneip<swesne.dp
 @ashoThsasüserthsasuesermiseu *pauorsinntset <sin81swnousco
 p *lisnsAGs-3
 s *hipco isfr sstwe:souanoedtrsutitsndr sdi
 sitndo t tsmsf se U sfe Gser PoliLisns vssi 3s *s sblhepbyhesreSoswa Fondios
  *shiprsraissisiboedn se peshaitpilbessel,p* t sTHT sY RRsTYwisouevp t isli wsray p
 MEsHAABoITorsITSSsOR PoTILAsPUOSs S ts
 GNsAfrooenalsubc scee or resetlss ** pu ous he sceedo cy s t Gs AeroGerasPuicpicsesveios3,* ponwis ts sogm.oIfotsse<hpp:wwsgnorslinsp/>*
s/
amspa OoMeacs;
sepCPCase;sesCPCapeFtos;
e sP\ogor;sesCPMepac;
sla Fsto iplentsIChescty o	cstsULCApE NusCae:sla;
s/*	 s@v soin$gobareox
*/oprato$gbaorex;o	/
	o @r oogr oogr
o*/proat$loge

o** *ovastongloolCheoas	 o
	ivoe ocoCaeCoss
	o*
* oartrog isoibedochlao
	/
oriteodirioteacoCls;o	/
	o @r ori $ockgCoheaso	 
	oive oocngochlao;
/*o	 @poamtrog loolPfio	 @poamLooerlooer *opam ori|nol ocoCaeCoss *opam ori|nol isoibedochlao
	 @orastongulo$lkioCaeCoss *o	pliofutio _onoru(soin$gobareox,Looerlooer		oocCaoeCsso nl,odirioteacoCls onu, oocngochlao =ulo
			ohi>loge= oogr;o	$isoglaloef =oglaloef;
o	i(!oocCaoeCsso{
	$ocaacoCls ose::oLLACo;
}
oif!$ostbuodCheoas {o		isoibedochlao =lolCheas
	

$mmsiCaeMsa =Meac {sas np ailmleormus cshe
	smiinacHio =oIsheatinPHsmoleonsll a ebl?'s		 (lam_estm$lalchla) m !socoCaeCssmisaiblm))
	if\O:$I o !sfid(HPITmUN) 		s//LImhosd ot rdaimonron mmche		th->ggm->mfoomiinacmMeoag [o		'css=>lolCmheass
			sse=>lol's			'pp'p> plim		m])		o$lalochlao =elo:NL_oCH
	o} 
seo
		toowewoOCinoxctio(stromiinoacMeoag [o		'{oas' o $caoacClos,{uo}'> ooc'
o		, oisngochino;
	}o	}	io(!asoextsodirioteacoCls)o| dioriteoacClos:sAoilleo) 		of OCo$C &o!dino('PUoT_N'o {		o/ I oou no hd-oiln ook mocae
o		hio>l	geo>io(oisngochesoge[
o		clos'$> oisiboedchola,
o		uso ='dotruto',		'a' p 'mi's		);		dioriteoacClos seo::LLoAC;
o	}
lso{
		oroneo\OHioExpton(rto$msioCaeMosa, o			'ola}'o> isoibedochlao, uso'  'ostbuod'		o),mioinacoHi);o				o		 (o$lkioCaeCoss& oasexotsdioriteoacClos)& oocngochlao::Avolae(o) 		o/ n'ofabao sceohealoacmiot t o staoe r oorg ock			oocngochlao =elo:NL_oCH
	o

$$tos-ocoCaeCoss $ocaacoCls;o	$isodiriteacmCls $dmtrutmCaeCss		him>lmkisCaeCss $ockgCoheaso
	
	o*
* oea aoac
 iotae or orog cko	 	 o@pamotrg orex
o* eton emoch	 o
	blo fcton eaoLoinostngoprixo ': oemcho{
reornewoth->ockgCoheasph$t
/s- *lohilPfifi i. pa'  o$pthfiSy;
on

pa**ag *
 re *e c)diabrin tetecaiee <fstiecesy *on *copa
 m  *rior $heeful
	co @ritut  Id chce	 e 
	foblat fn,ctlen e eaewDiheriICteSEst* ngleprhaixwa 'di: riacte {wi	r turs neur$t cs-e.is*/ibnaedspche lamf($y\ismpglenalEveftD .pa/'he $

ef*
); T}
 E/*nt	 spcrchteIn lrfale ac t i ctatre
 p*
nt* f armf sy'inev$pt fist	 er@rysurm.IC* hest *er	parlirefusttied cn ate ocna(sr ind $penfi a=  d):paCahee th		ugtuth n * $aniserlo *lC* heutasr $trns-rdlochlPsefi<b. hu' ek$pmafi.c;


/
**te *acseEv\OtDMepaache\Fnttofa::
{ea  Di**ri  te* )
sp* char a sevint $p afi r	 is@rreurliICenhes. *  de*
ec  ed @3.ra0 ste ngthev ctNate oce ngmecrf tee stenbutod is ctcat Toc n
	e /

 ub  c   nc  on  re  e(  ri   $ tef e =nt')s ICe heme
	f ete n thhi t>ct at
 is  ib  ed  pr  ix  
	  
	  *
 i* okec omeliacen as.il  il* y
ar*
 E* ntet$en ntol   *he	pveli tfupati t ithvaevabt ()ndbors {is	rneur
 ($  is  di  ri  te  ac  Cl  s  I= nolfsuNUli_C, HE e
	ty
	ve*
 i* taeee OC cematch
 Fa  or  :c *atreocrn()ve *
 pa  m 
 ri p $lieffu
	ti @ dtupa Ih(chve	 Na
	, blen f$ectntn  neal)Lo
 at /cy
 tr  g Adre ax ev''t  Istcher{
harelirnenthon->heeapeLofil( erentx)
 	}  	/  
	 * Cpackm f rilo  l evmotN ce hee acenndtos isain bl
 	   	 @p@ramuralbobl
	$l/
teubr c hencisonnesL  al *chpavam abt ()  bopr {ri	r  ure ($ghis tlos lCluhe tas e!=lise a::evLLt
AC  );  }

A votre avis, qu’est-ce que c’est que ce bordel?
Merci d’avance pour vos retours.

Ça ressemble à du code informatique chiffré d’une drôle de façon (parce qu’on reconnaît la structure du code).

T’es sûr que ce mail vient bien de ton instance ? Tu devrais vérifier dans le source du mail l’ip de provenance

oui je suis sûr.
de: root@mondomaine.com
à: nextcloud@mondomaine.com

Note: ce n’est pas parce que le “from” a une valeur que c’est vrai, d’autant plus sur les clients qui n’affichent que la partie texte du from. D’où ma proposition de vérifier le code source du mail.

Mais il y a pas mal de chance effectivement que ce soit vrai.

Après recherche il s’agit du code du cron.php qui est renvoyé et semble altéré. Vu que c’est derniers temps il y a pas mal de soucis avec php je dirais que c’est peut être lié à l’installation d’une autre app ou à une mise à jour qui a changé ta version de php

Tu peux préciser la version à utiliser avec la commande:

update-alternatives --set php /usr/bin/php7.X

X étant à changer selon la version (0 2 3 ou 4)

non aucune mise à jour de faite recemment et aucune nouvelle application installée. je suis toujours en php 7.0.33-0+deb9u6

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.