Bonjour à tous,
Sur mon site www.boncaillou.org je n’ai plus accés à mon espace privé, en mettant mes identifiants et mots de passe, je me retrouve sur une page :
Forbidden
You don’t have permission to access this resource.
je ne pense pas avoir modifié quoi que ce soit depuis la dernière fois (qui remonte à quelques mois)
Avez vous une idée (je suis un piète développeur, qui à réussi à coder son site pro tout seul mais qui ne parle pas couramment le langage de programmation).
Merci
Didier
SPIP 3.2.16.
Nouvelle victime (qui vient s’ajouter à la longue liste) de la faille de sécurité corrigée fin février par la mise à jour 3.2.19.
Voir autres messages sur ce sujet.
Peut-être en commençant par « Mot de passe oublié » ? D’expérience le mot de passe est souvent pas bon ou mal noté…
Le 12/05/2023 à 11:16, didier_caillou via Discuter de SPIP a écrit :
didier_caillou
Mai 12Bonjour à tous,
Sur mon site www.boncaillou.org je n’ai plus accés à mon espace privé, en mettant mes identifiants et mots de passe, je me retrouve sur une page :
Forbidden
You don’t have permission to access this resource.je ne pense pas avoir modifié quoi que ce soit depuis la dernière fois (qui remonte à quelques mois)
Avez vous une idée (je suis un piète développeur, qui à réussi à coder son site pro tout seul mais qui ne parle pas couramment le langage de programmation).Merci
Didier
Voir le sujet ou répondre à ce courriel pour répondre.
Pour vous désabonner de ces courriels, cliquez ici.
merci Jacques !
ça ressemble à un hack effectivement, l’acces au mot de passe oublié est aussi interdit…
Je viens d’avoir le même problème sur deux sites différents cette semaine.
On peut se connecter avec cette adresse :
www.monsite/?page=login
Je ne sais pas pourquoi et je ne sais pas si ça peut aider…
mais oui ça marche !
merci !
Ça peut aider pour se connecter et lancer spip_loader.
Mais une partie du hack sera toujours là : la modification du fichier .htaccess
Alors j’ai exactement le même problème sur un site SPIP 4.1.5.
En fouillant j’ai trouvé que certains avait le même souci et repéré 2 fichiers modifiés :
.htaccess à la fin du fichier
###
<Files "spip.php">
<LimitExcept GET>
deny from all
</LimitExcept>
</Files>
spip.php en début de page
<?php if(isset($_POST['page'])&& strtolower($_POST['page'])=='spip_pass') die();?>
Les modifications datent du 30/04 rien d’autre n’a été touché, et je n’ai trouvé aucune explication.
En supprimant ces infos tout rentre dans l’ordre.
Quelle est la solution, mettre à jour ?
Est-ce que le hack est dangeureux, quelles sont les conséquences ?
Est-ce qu’il y a un article sur le sujet ?
Merci
Le hack est dangereux parce qu’il utilise le formulaire de login de SPIP pour agir directement sur le contenu du serveur.
Pour l’instant, ça a l’air d’être gentil (les hacks qui ont déjà eu lieu).
Mais potentiellement :
Bref : il faut mettre à jour SPIP !
Ok, merci !!
Merci à tous pour vos réponses, et surtout à @RealET qui a solutionné tout ça de main de maître !
Avec grand plaisir.
Et vive la typo !
Bonjour
,J’ai aussi deux sites touchés (pour le moment), ma question est assez basique, mais comment mettre à jour le spip_loader comme je n’ai pas accé ? Je remarque des fichiers modifié le 02.05.2023
Mais je ne sais pas ce que je dois faire, notament le .htaccs, je le supprime ? et reprend un autre d’un autre site spip?
J’ai le fichier squelette qui est modifier. > Je dois avoir une sauvegarde normalement,
Si je supprimes tout et que je mets mes squelettes sauvegardé ça ira ?
J’ai le fichier Tmp avec un fichier meta-cache.php et cron_lock.php modifié et visites modifié du mois d’avril. Je peux tout supprimé? (mon fichier Dump) ne semble pas avoir changé.
Il y a aussi le dossier écrire qui est modifier:
J’ai un fichier .rnd et mon fichier local de modifier. Je peux supprimer ?
Pas mal d’info ici : Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)
Et aussi qu’enlever spip.php à l’url de login permet de passer dans l’admin de SPIP
Merci pour ta réponse,
Mais les éléments que tu as signalé, il faut les supprimer du post ?
J’ai l’impression d’avoir d’autres fichiers modifies, mais par exemples dans me ssquelettes je ne trouve pas de code douteux…
J’ai deux fichier spip.php et spip__.php par ex j’ai supprimer le code :
<?php if(isset($_POST['page'])&& strtolower($_POST['page'])=='spip_pass') die();?><?php
Aussi, quand j’essaie d’acceder a mon spip_loader, j’ai une page banche…
J’ai l’impression, qu’il faudrait repartir d’un site propre. tout supprimer et juste résintaller les squelltes modifier et la BDD,
Si tu es chez OVH, il faut mettre les mêmes droits à spip_loader.php que ceux de spip.php.
Par ailleurs, les dernières versions de spip_loader.php doivent être transférées en mode binaire (c’est un phar compilé).
Ok ! c’était ça, j’ai modifié mon FTP.
J’ai décidé de tout supprimer et de réinstaller le site, en ayant accéder à l’interface privé, j’ai fais une sauvegarde de base de donnée avant.
C’était un site en 4.0 => la mise a jour de cette branche nous protège bien de cette attaque ?
Sinon je tenterai de le passer en 4.1.
La 4.0 dans cette dernière version protège. Mais ne sera pas plus maintenue que la branche 3.2.
Donc, passer en 4.1.9 est prudent 