accès interdit…

Quelle est la solution, mettre à jour ?
Est-ce que le hack est dangeureux, quelles sont les conséquences ?
Est-ce qu’il y a un article sur le sujet ?
Merci

Le hack est dangereux parce qu’il utilise le formulaire de login de SPIP pour agir directement sur le contenu du serveur.

Pour l’instant, ça a l’air d’être gentil (les hacks qui ont déjà eu lieu).

Mais potentiellement :

• le site web peut être entièrement détruit (IMG et base de données compris)
• le site peu devenir un relais pédopornographique
• ou relais de mails de phishing
• ou contenir des pages web de phishing

Bref : il faut mettre à jour SPIP !

Ok, merci !!

Merci à tous pour vos réponses, et surtout à @RealET qui a solutionné tout ça de main de maître !

Avec grand plaisir.

Et vive la typo !

Bonjour
,J’ai aussi deux sites touchés (pour le moment), ma question est assez basique, mais comment mettre à jour le spip_loader comme je n’ai pas accé ? Je remarque des fichiers modifié le 02.05.2023

Mais je ne sais pas ce que je dois faire, notament le .htaccs, je le supprime ? et reprend un autre d’un autre site spip?

J’ai le fichier squelette qui est modifier. > Je dois avoir une sauvegarde normalement,
Si je supprimes tout et que je mets mes squelettes sauvegardé ça ira ?

J’ai le fichier Tmp avec un fichier meta-cache.php et cron_lock.php modifié et visites modifié du mois d’avril. Je peux tout supprimé? (mon fichier Dump) ne semble pas avoir changé.

Il y a aussi le dossier écrire qui est modifier:
J’ai un fichier .rnd et mon fichier local de modifier. Je peux supprimer ?

Pas mal d’info ici : Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)

Et aussi qu’enlever spip.php à l’url de login permet de passer dans l’admin de SPIP

Merci pour ta réponse,
Mais les éléments que tu as signalé, il faut les supprimer du post ?
J’ai l’impression d’avoir d’autres fichiers modifies, mais par exemples dans me ssquelettes je ne trouve pas de code douteux…

J’ai deux fichier spip.php et spip__.php par ex j’ai supprimer le code :
<?php if(isset($_POST['page'])&& strtolower($_POST['page'])=='spip_pass') die();?><?php

Aussi, quand j’essaie d’acceder a mon spip_loader, j’ai une page banche…

J’ai l’impression, qu’il faudrait repartir d’un site propre. tout supprimer et juste résintaller les squelltes modifier et la BDD,

Si tu es chez OVH, il faut mettre les mêmes droits à spip_loader.php que ceux de spip.php.
Par ailleurs, les dernières versions de spip_loader.php doivent être transférées en mode binaire (c’est un phar compilé).

Ok ! c’était ça, j’ai modifié mon FTP.
J’ai décidé de tout supprimer et de réinstaller le site, en ayant accéder à l’interface privé, j’ai fais une sauvegarde de base de donnée avant.

C’était un site en 4.0 => la mise a jour de cette branche nous protège bien de cette attaque ?
Sinon je tenterai de le passer en 4.1.

La 4.0 dans cette dernière version protège. Mais ne sera pas plus maintenue que la branche 3.2.
Donc, passer en 4.1.9 est prudent

Bonjour,

Question d’un neophyte, mais parvenir à utiliser spip_loader.php pour mettre à jour en supprimant le .htaccess modifié et en supprimant le code qui empeche l’accé au mot de passe dans spip.php ou spip__.php, nous protège correctement ? Spip_loader fait bien un nettoyage des fichiers suspects ?

J’ai plusieurs site qui sont touchés, mais quand je regarde sur le FTP, les dernières modifications (01/05/2023 ver 4h pour moi), il ne s’agit pas toujours des même fichiers, mais ce qui est reviens à chaque fois, c’est bien le .htacess et le spip.php.

D’ailleurs je remarque que j’ai souvent un spip___.php, qui est semblable a spip.php, mais pas a chaque fois, est-ce qu’il faut le garder ? Je ne sais plus si c’est propre à SPIP ou si c’est le hacker qui à mis ce fichier.

spip_loader.php n’est pas suffisant pour nettoyer un site hacké.

Autrement dit, il faut au moins :

• remettre le bon .htaccess
• supprimer les fichiers vérolés en trop

PS : personnellement, je le fais en téléchargeant le site vérolé, et en lançant une comparaison de dossiers/fichiers avec une version vierge de SPIP.

Intéressant.
Avec quel logiciel réalises-tu cette comparaison ? Notepad ++ ? Autre ?

Araxis Merge parce que j’ai acheté la licence.

Mais il y en a plein gratuits ou non :

• AraxisMerge : payant, et très puissant !
• WinMerge : comparaison de seulement 2 fichiers à la fois, mais possibilité d’édition
• Kdiff3 : juste la comparaison de fichiers, mais jusqu’à 3 à la fois.
• UltraCompare : payant, avec édition et 3 fichiers comparés à la fois
• Diffuse : comparaison de 3 fichiers, avec possibilité d’édition, OpenSource
• CodeCompare : une version gratuite limitée et une version payante

et MeldMerge gratuit (linux/windows)
comparaison à deux et trois voies des fichiers et des répertoires,
examine les modifications de code.

Bonjour,

Personnellement j’utilise Beyond Compare depuis des annees, pour le boulot et la mise à jour de mes sites, SPIP ou autres.

Il liste assez rapidement les différences, fichiers supprimés ou modifiés (contenu des PHP) et permet ensuite une mise à jour ultra rapide.

–
Cordialement
Christophe

TotalCommander : shareware gratuit, comparaison arborescente avec FTP
DoubleCommander : clone libre multi-plateformes

Les hacks continuent sur des sites en 3.1.15, nettoyés, avec un écran de sécurité à jour.
Je vais passer en 3.2 pour tous, mais sans le spip_loader, en remplaçant tous les dossiers SPIP (sauf config et IMG), et aussi le htaccess.
Pour les plugins, je les réimporterai tous un par un.
C’est la bonne méthode ?

Bonjour,

Faites attention, il peut aussi y avoir des fichiers vérolés dans le répertoire IMG !
Par exemple, un fichier php qui permet d’exécuter du code (eval("".base64_decode($b)).
Il pourrait s’appeler /IMG/about.php ou …

Bon nettoyage

Freed