Hello,
Je viens d’être victime d’une attaque sur l’un de mes SPIP hébergés chez OVH. Symptôme : site inaccessible, et sur le serveur une tentative d’installation de worpress, pas terminée. Par deux fois, j’ai remis le site en état par la réinstallation de la sauvegarde automatique d’OVH (base MySQL + fichiers), et c’est revenu.
Il y avait visiblement récupération du mot de passe Etait-ce dans le fichier config.php ? J’ai craint un keylogger sur ma machine du boulot (qui passe par les Fenêtres), mais après la première récidive j’ai changé le mdp depuis mon Mageia Linux à jour, j’ai été défacé une troisième fois.
Je ne suis pas du tout un bon technicien, et le service client d’OVH sur le coup m’a laissé tomber. Pas cool. J’en suis arrivé à devoir renommer le répertoire www en « poubelle », et réinstaller SPIP à blanc. J’ai à peu près tout récupéré, et supprimé un .htaccess de 420 octets qui était recopié dans tous les répertoires, dont je vous donne le contenu pour analyse :
Code suspect
<FilesMatch « .(py|exe|php)$ »>
Order allow,deny
Deny from all
<FilesMatch « ^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php)$ »>
Order allow,deny
Allow from all
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
NB le site était à jour en SPIP 4.2.10, PHP 8.2, MySQL 5.3 ; aucune fonction interactive activée, et le seul plugin est le squelette de présentation ViaSPIP de JYGiraud.