Est-ce qu’il y a cPanel ?
Quelle version de Spip ?
Quelle version de PHP ?
L’armagéSPIP qu’on a connu l’année dernière est de nouveau lancée, pas étonnant puisque la faille est publique depuis quelques jour cf Vulnérabilité dans SPIP - CERT-FR & CVE Website
Du côté de l’hébergeur associatif où je bénévole, je viens juste de nettoyer une vm infectée à cause d’un SPIP 4.2.5 qui s’est fait gaver de rootkits qui ont permis de poser un crontab pour l’user en question avec appel du script décrit ici Found Base64-encoded commands in cron scheduler. What does it do? - Super User
Le pire, c’est que le site en question avait été piraté l’année dernière et qu’on avait accompagné l’adhérent⋅e pour remettre sont site en place et à jour et pour se tenir au courant des sorties de nouvelles versions de SPIP…
3 « J'aime »
Pas de cPanel, Alwaysdata a son propre panel.
Les sites touchés : 3.2.19 (oui, je sais) mais avec écran sécu à jour, et bigup, bien sûr.
1 « J'aime »
l’écran fait ce qu’il peut mais ne prétend pas protéger de toutes les attaques dues à des failles corrigées un spip à jour
Bonjour
même soucis, même réponse d’o2switch avec la même IP problématique. J’ai eu tous mes sites SPIP infectés, pas les autres (prestashop ok, sites site maison ok, wordpress ok). Je me bataille tous les jours à coup d’antivirus qui trouve à chaque fois de nouveaux fichiers infectés, toujours dans spip, ça peut être à la racine comme n’importe où dans le site, j’en ai eu même dans le répertoire IMG !
Tous mes sites sont sous la dernière version donc à jour (je les ai mis à jour récemment mais ils étaient dans des versions assez récentes quand-même). Je viens de faire un fichier robots.txt pour éliminer tous les mauvais bots, c’est toujours ça de fait au passage 
, et là je vais donc bannir cette IP qui semble poser problème, j’espère que c’est bien la cause du problème.
Mais en effet on dirait que o2switch / SPIP ne font pas bon ménage. J’ai un autre site sous SPIP chez OVH et ne n’ai pas de soucis, donc combo étrange…
Si vous avez des nouvelles je suis preneuse ! Je vous en donnerai de mon côté également si une solution ressort de tout ça.
Je vous transmet la réponse d’o2switch :
Bonjour,
En général non, SPIP ayant eu une vague de piratage récemment me semble bien.
Vos processus liés à SPIP s’accumulent en boucle jusqu’à atteindre saturation complète de l’hébergement.
Une fois saturé, les processus PHP ne peuvent plus fonctionner.
Voici les processus en question :
1086718 gije3603 20 0 31444 6964 2328 S 0,0 0,0 0:22.96 /usr/sbin/client
1086733 gije3603 20 0 31444 6852 2212 S 0,0 0,0 0:22.58 /usr/sbin/client
1086761 gije3603 20 0 31336 6836 2216 S 0,0 0,0 0:22.54 /usr/sbin/client
1086767 gije3603 20 0 31340 6968 2328 S 0,0 0,0 0:22.33 /usr/sbin/client
Je peux les kill, mais ils reviennent systématiquement.
Lorsque je fais un strace d’un des processus voici ce que j’ai :
socket(AF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
ioctl(3, TCGETS, 0x7ffee8084cc0) = -1 ENOTTY (Inappropriate ioctl for device)
lseek(3, 0, SEEK_CUR) = -1 ESPIPE (Illegal seek)
ioctl(3, TCGETS, 0x7ffee8084cc0) = -1 ENOTTY (Inappropriate ioctl for device)
lseek(3, 0, SEEK_CUR) = -1 ESPIPE (Illegal seek)
fcntl(3, F_SETFD, FD_CLOEXEC) = 0
connect(3, {sa_family=AF_INET, sin_port=htons(6667), sin_addr=inet_addr(« 167.71.55.227 »)}, 16) = -1 ECONNREFUSED (Connection refused)
close(3)
SPIP semble faire une requête vers un serveur externe ayant comme IP 167.71.55.227.
IP qui semble provenir de Digital Ocean lorsque l’on regarde le Whois : Whois Lookup Captcha
Il faudrait voir avec SPIP si cela leur parle directement.