Forum général.général Piratage site web

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
11
26
juin
2023

Bonjour à tous,

J'ai eu la désagréable surprise de voir que le site dont je m'occupe a été piraté.
Je suis chez un hébergeur mutualisé et j'avais plusieurs mini-site et un site principale sur cet espace.

Me demandant si l'attaquant, content de son exploit pourrait me laisser tranquille, j'ai restauré une sauvegarde datant de quelques jours avant l'attaque où je ne voyais pas de traces évidentes de l'intrusion. Ayant auparavant sauvegarder les fichiers douteux…

J'ai désactivé les tous comptes FTP (dont je ne me servais pas).

Mais ceci ne règle pas le problème, la porte qu'il a utilisé est toujours ouverte et il semble bien être revenu et a effacé l'intégralité du site. Mon hébergeur a encore des sauvegardes… mais bon, j'aimerai que ce petit jeu cesse..

Je cherche donc un moyen d'identifier son point d'entrée. Je n'ai accès qu'aux logs apache…

Comme moteur de site, j'utilise SPIP.

Vous auriez des conseils ?

  • # bon courage !

    Posté par  . Évalué à 7. Dernière modification le 26 juin 2023 à 22:43.

    Ça a l'air bien chiant… Je ne saurais pas où regarder.

    • Est-ce que les softs du serveur sont à jour ? SPIP ? Apache ? base de données ? autres ?
    • Est-il possible de mettre le site en lecture seule ? ou de désactiver l'exécution de scripts ?

    • [^] # Re: bon courage !

      Posté par  (site web personnel) . Évalué à 3.

      Merci à toi bobo38 et à vous tous qui m'avez répondu, ça fait plaisir d'avoir un peu de soutient !

      Mon hébergeur semblait confiant sur son côté, n'ayant probablement pas eu des plaintes en masse…

  • # Dans Spip, il y a l'écran de sécurité

    Posté par  (site web personnel) . Évalué à 9. Dernière modification le 26 juin 2023 à 23:05.

    Si on imagine que c'est le moteur Spip qui est en cause, et non pas l'hébergeur ou une fuite de mots de passes… il serait judicieux de mettre à jour l'écran de sécurité. C'est un simple fichier à installer.

    D'autre part, il faudrait aussi vérifier les plugins.

    Et voir aussi avec l'hébergeur et les équipes de Spip, parce que ça signifie que d'autres peuvent être victimes.

    L'écran de sécurité : https://www.spip.net/fr_article4200.html

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Dans Spip, il y a l'écran de sécurité

      Posté par  (site web personnel) . Évalué à 9. Dernière modification le 27 juin 2023 à 09:16.

      Pis vérifier que le Spip est à jour, aussi… tout simplement.

      La page de l’écran de sécurité indique bien que ça ne se substitue pas à une mise à jour de Spip, même si aide à éviter des problèmes sans pour autant mettre à jour Spip.

      Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

  • # Logs apache

    Posté par  (site web personnel) . Évalué à 7.

    Je cherche donc un moyen d'identifier son point d'entrée. Je n'ai accès qu'aux logs apache…

    La réponse me semble dans la question.

    En dehors des URL louches pour essayer d'accéder à des fichiers qui ne devraient pas être accessibles et/ou déclencher des actions non souhaitables, une technique classique est de téléverser un fichier (a.k.a une payload) contenant des saletés pour ensuite la faire exécuter.

    Tout cela laisse généralement des traces dans les fichiers de log du serveur web.

    Debian Consultant @ DEBAMAX

  • # Conseils restauration site hacké SPIP

    Posté par  . Évalué à 10.

    Salut Keuronde,
    Je suis aussi confronté à une vague de piratage sur les sites SPIP dont j'ai la gestion.

    Voici un lien ou tu trouveras plus d'infos
    https://discuter.spip.net/t/alerte-vague-de-piratage-de-sites-depuis-le-23-avril-pas-d-acces-a-ecrire-version-spip-inferieures-a-3-2-18-4-1-8-et-4-2-1/169042

    Je te conseille de sauvegarder les fichiers de ton theme (squelettes/, config/) et de réinstaller un SPIP au propre en prenant la dernière version.Ainsi que de changer l'écran de sécurité pour la dernière version (1.5.3) https://www.spip.net/fr_article4200.html

    Voici un tuto sur les bonnes pratiques en cas de site hacké.
    https://contrib.spip.net/Spip-hacke-que-faire

    Bon courage !

    • [^] # Re: Conseils restauration site hacké SPIP

      Posté par  (site web personnel) . Évalué à 9.

      Salut Menestroll,

      J'ai suivi tes conseils. Effectivement le site n'était pas à jour, évidemment, à la dernière version impactée par la faille 4.0.9.

      J'ai trouvé dans les log apache des symptômes assez similaires à ceux décrits sur les sites que j'ai pu trouver grâce à tes liens, de ce type là :

      31.222.238.89 - - [25/Jun/2023:04:01:08 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040108"
      31.222.238.89 - - [25/Jun/2023:04:01:13 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040113"
      31.222.238.89 - - [25/Jun/2023:04:01:23 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040123"
      31.222.238.89 - - [25/Jun/2023:04:01:29 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040129"
      31.222.238.89 - - [25/Jun/2023:04:01:36 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 429 114 "-" "Go-http-client/1.1" "20230625040136"
      31.222.238.89 - - [25/Jun/2023:04:01:45 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 200 1832 "-" "Go-http-client/1.1" "20230625040145"
      J'ai donc réinstallé une version propre, changé le mot de passe pour la base MySQL, chargé mes plugins et squelette après une inspection rapide de ceux-ci, puis enfin les images…

      Et enfin changé mes mots de passe utilisateurs sur le site…

      Je retrouve un ensemble fonctionnel. On va voir si ça tient…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.