Bonjour à tous,
J'ai eu la désagréable surprise de voir que le site dont je m'occupe a été piraté.
Je suis chez un hébergeur mutualisé et j'avais plusieurs mini-site et un site principale sur cet espace.
Me demandant si l'attaquant, content de son exploit pourrait me laisser tranquille, j'ai restauré une sauvegarde datant de quelques jours avant l'attaque où je ne voyais pas de traces évidentes de l'intrusion. Ayant auparavant sauvegarder les fichiers douteux…
J'ai désactivé les tous comptes FTP (dont je ne me servais pas).
Mais ceci ne règle pas le problème, la porte qu'il a utilisé est toujours ouverte et il semble bien être revenu et a effacé l'intégralité du site. Mon hébergeur a encore des sauvegardes… mais bon, j'aimerai que ce petit jeu cesse..
Je cherche donc un moyen d'identifier son point d'entrée. Je n'ai accès qu'aux logs apache…
Comme moteur de site, j'utilise SPIP.
Vous auriez des conseils ?
# bon courage !
Posté par bobo38 . Évalué à 7. Dernière modification le 26 juin 2023 à 22:43.
Ça a l'air bien chiant… Je ne saurais pas où regarder.
[^] # Re: bon courage !
Posté par Keuronde (site web personnel) . Évalué à 3.
Merci à toi bobo38 et à vous tous qui m'avez répondu, ça fait plaisir d'avoir un peu de soutient !
Mon hébergeur semblait confiant sur son côté, n'ayant probablement pas eu des plaintes en masse…
# Dans Spip, il y a l'écran de sécurité
Posté par GG (site web personnel) . Évalué à 9. Dernière modification le 26 juin 2023 à 23:05.
Si on imagine que c'est le moteur Spip qui est en cause, et non pas l'hébergeur ou une fuite de mots de passes… il serait judicieux de mettre à jour l'écran de sécurité. C'est un simple fichier à installer.
D'autre part, il faudrait aussi vérifier les plugins.
Et voir aussi avec l'hébergeur et les équipes de Spip, parce que ça signifie que d'autres peuvent être victimes.
L'écran de sécurité : https://www.spip.net/fr_article4200.html
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Dans Spip, il y a l'écran de sécurité
Posté par Framasky (site web personnel) . Évalué à 9. Dernière modification le 27 juin 2023 à 09:16.
Pis vérifier que le Spip est à jour, aussi… tout simplement.
La page de l’écran de sécurité indique bien que ça ne se substitue pas à une mise à jour de Spip, même si aide à éviter des problèmes sans pour autant mettre à jour Spip.
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: Dans Spip, il y a l'écran de sécurité
Posté par Keuronde (site web personnel) . Évalué à 3.
Effectivement, je pense que le problème venait d'une version qui n'était pas à jour, après analyse des logs apache…
# Logs apache
Posté par Cyril Brulebois (site web personnel) . Évalué à 7.
La réponse me semble dans la question.
En dehors des URL louches pour essayer d'accéder à des fichiers qui ne devraient pas être accessibles et/ou déclencher des actions non souhaitables, une technique classique est de téléverser un fichier (a.k.a une payload) contenant des saletés pour ensuite la faire exécuter.
Tout cela laisse généralement des traces dans les fichiers de log du serveur web.
Debian Consultant @ DEBAMAX
# Conseils restauration site hacké SPIP
Posté par Menestroll . Évalué à 10.
Salut Keuronde,
Je suis aussi confronté à une vague de piratage sur les sites SPIP dont j'ai la gestion.
Voici un lien ou tu trouveras plus d'infos
https://discuter.spip.net/t/alerte-vague-de-piratage-de-sites-depuis-le-23-avril-pas-d-acces-a-ecrire-version-spip-inferieures-a-3-2-18-4-1-8-et-4-2-1/169042
Je te conseille de sauvegarder les fichiers de ton theme (squelettes/, config/) et de réinstaller un SPIP au propre en prenant la dernière version.Ainsi que de changer l'écran de sécurité pour la dernière version (1.5.3) https://www.spip.net/fr_article4200.html
Voici un tuto sur les bonnes pratiques en cas de site hacké.
https://contrib.spip.net/Spip-hacke-que-faire
Bon courage !
[^] # Re: Conseils restauration site hacké SPIP
Posté par Keuronde (site web personnel) . Évalué à 9.
Salut Menestroll,
J'ai suivi tes conseils. Effectivement le site n'était pas à jour, évidemment, à la dernière version impactée par la faille 4.0.9.
J'ai trouvé dans les log apache des symptômes assez similaires à ceux décrits sur les sites que j'ai pu trouver grâce à tes liens, de ce type là :
J'ai donc réinstallé une version propre, changé le mot de passe pour la base MySQL, chargé mes plugins et squelette après une inspection rapide de ceux-ci, puis enfin les images…31.222.238.89 - - [25/Jun/2023:04:01:08 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040108"
31.222.238.89 - - [25/Jun/2023:04:01:13 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040113"
31.222.238.89 - - [25/Jun/2023:04:01:23 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040123"
31.222.238.89 - - [25/Jun/2023:04:01:29 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040129"
31.222.238.89 - - [25/Jun/2023:04:01:36 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040136"
31.222.238.89 - - [25/Jun/2023:04:01:45 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 200 1832 "-" "Go-http-client/1.1" "20230625040145"
Et enfin changé mes mots de passe utilisateurs sur le site…
Je retrouve un ensemble fonctionnel. On va voir si ça tient…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.