Alerte : vague de piratage de sites depuis le 23 avril 2023 : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)

gild · Juin 1, 2023, 7:28

Il faut faire évoluer les maj en parallèle avec les versions de PHP…

passer le site en PHP 7.4 mettre à jour en 4.0 passer en 8 etc

···

Le 01/06/2023 à 21:19, Claire HENRION via Discuter de SPIP a écrit :

Claire HENRION
Juin 1

réinstaller SPIP et tous les plugins à partir de zéro

c’est ce que j’ai essayé de faire, avec la version, 4.2 donc.
Mon site était sous la version 3.2 et ma version de PHP; 5.
Première question (à laquelle je n’ai pas réussi à répondre en visitant les forums): PHP 5 étant incompatible avec la version 4.2 de SPIP comment je fais pour passer à une version plus récente de PHP ?

J’ai quand même essayé de refaire une installation:
avec spip loader, zéro résultat
Installation manuelle, pas plus de résultat

monsite.org/ecrire → erreur 404

Merci de vos lumières.

Le mar. 30 mai 2023 à 17:34, jeanmarie via Discuter de SPIP <> a écrit :

jeanmarie
Mai 30

De toute façon, la solution la plus sûre pour récupérer un site piraté est de réinstaller SPIP et tous les plugins à partir de zéro pour être sûr de ne pas avoir de fichiers vérolés qui trainent quelque part et faire le tour des dossiers dans IMG pour voir si tout est légitime (fichiers suspects ou modifiés, droits des fichiers/dossiers…).

@Jack31 : en fait, c’est la première tentative de connexion qui ne fonctionne pas, si je retente dans la foulée, c’est bon… je ne sais pas d’où ça vient. Bon en même temps, on est sur du vieux-vieux SPIP donc bon

Voir le sujet ou répondre à ce courriel pour répondre.

Pour vous désabonner de ces courriels, cliquez ici.

Voir le sujet ou répondre à ce courriel pour répondre.

Pour vous désabonner de ces courriels, cliquez ici.

noreply@discuter.spip.net

Claire_HENRION · Juin 2, 2023, 11:28

Il faut faire évoluer les maj en parallèle avec les versions de PHP
Merci de me l’avoir confirmé.
En suivant ce protocole https://contrib.spip.net/PhpMyAdmin-phpinfo#L-interet
, je devrais y arriver -)

jeanmarie · Juin 2, 2023, 1:39

Le changement de version de PHP se fait généralement via l’espace client chez ton hébergeur.

choucas · Juin 3, 2023, 1:38

Et surtout penser que certains hébergeurs n’autorisent pas de fixer la version de php site par site, Dans ce cas, tous les sites hébergés doivent évoluer en même temps.

Claire_HENRION · Juin 3, 2023, 10:37

bon, je n’ai qu’un site et je suis chez OVH

Le sam. 3 juin 2023 à 15:48, choucas via Discuter de SPIP <noreply@discuter.spip.net> a écrit :

choucas
Juin 3

Claire_HENRION:

l faut faire évoluer les maj en parallèle avec les versions de PHP

Et surtout penser que certains hébergeurs n’autorisent pas de fixer la version de php site par site, Dans ce cas, tous les sites hébergés doivent évoluer en même temps.

Voir le sujet ou répondre à ce courriel pour répondre.

Pour vous désabonner de ces courriels, cliquez ici.

b_b · Juin 26, 2023, 9:27

Pour info, une nouvelle vague de piratage a été lancée hier le 25/06. Cette fois, le hack consiste à déposer des fichiers python et autre binaire afin d’exploiter la machine pour miner du bitcoin. voici la liste des fichiers que j’ai pu repérer sur les différents sites impactés :

data.php hp_sniff.py* InUdrHFO.php Isotope.x86 mine tst.py x86_64 xmrig*
6diSibAbzNC4qNywNvKPq7IfcfxdyLvP7trJYdXG hp_sniff.py* killer.py mine* tst.py x86_64* xmrig*

Il est donc urgent de mettre à jour votre SPIP si ça n’est pas déjà fait, ou au moins à le protéger avec la dernière version de l’écran de sécurité cf Écran de sécurité - SPIP

arno · Juin 26, 2023, 9:51

Pour au moins un de mes sites qui ont subit le piratage, j’étais à jour:

SPIP 4.1.10
ecran de sécurité 1.5.3

Eric_Le_Meur · Juin 26, 2023, 9:59

Oui, effectivement, deux de mes sites ont été impactés.
Bonne journée !

Pierr0t · Juin 26, 2023, 11:04

Par curiosité: y-a-t-il possibilité que les sites aient été infectés avant la mise à jour en 4.1.10 avec un fichier resté caché et inaperçu ? je veux dire infectés alors qu’ils étaient dans une version antérieure, nettoyés puis mis à jour en 4.1.10, sauf que le nettoyage aurait laissé passer un truc ?
Ou alors ils n’ont jamais été infectés, mis à jour dans les temps et malgré ça infectés de nouveau ? et dans ce cas ça pourrait être une autre faille ?
Inquiétant tout ça !

epilibre · Juin 26, 2023, 12:04

Je pense que c’est du brut-force.
Les logs avant que le premier script ne soit déposé sont pleines de

31.222.238.89 - - [25/Jun/2023:20:37:37 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 200 13691 "-" "Go-http-client/1.1"
31.222.238.89 - - [25/Jun/2023:20:37:37 +0200] "POST /spip.php?page=spip_pass HTTP/1.1" 200 8747 "-" "Go-http-client/1.1"

Sinon dans les choses bizarres, j’ai un processus /usr/sbin/spip qui est exécuté (alors que le fichier n’existe plus) - il y a aussi des scripts python qui continuent à tourner même si le source est supprimé (seule solution : rebooter ou faire des kill manuels)

b_b · Juin 26, 2023, 12:18

J’ai vu ça passer sur certains serveurs hier soir, pkill -9 -f spip et zou, mais il y a d’autres procs chelous comme /usr/sbin/systems et plein d’autres. De mon côté, un restart apache permettait de tous les tuer.

epilibre · Juin 26, 2023, 12:22

Par rapport aux appels excessifs de spip_pass, est-ce qu’il existe un plugin qui limite le nombre d’appels successifs ?

rod1001 · Juin 26, 2023, 12:27

2 sites impactés.
Pour info le message d’OVH suite au piratage :
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : uCeuCEeuxFeuawDg??
Exécutable utilisé : /legacy/home/nomdedomaine/www/Isotope.x86
Horodatage: 2023-06-26 00:54:50

b_b · Juin 26, 2023, 12:28

De mon côté aucun site à jour n’est impacté, le répertoire de ton site devait déjà être infecté avant ta mise à jour.

JLuc · Juin 26, 2023, 12:44

Ou alors, peut être, via un autre site pas à jour, suivi d’un déplacement latéral de site en site.

FredM · Juin 26, 2023, 3:07

Bonjour à tous,
Nous venons de subir également un hacking de notre site
Il était en spip_4.1.7. A priori le hackeur a déposé des script xmrig et autres scripts python avant de se faire repérer par ovh qui a bloqué les accès au site.
Avant de remettre le site sur pied on va modifier tous les mots de passe et upgrader en 4.1.10, quelle serait la meilleure méthode selon vous pour invalider tous les mots de passe des auteurs pour les forcer à en recréer un nouveau?
Merci pour votre retour

epilibre · Juin 26, 2023, 3:21

J’ai vu un client qui a perdu des répertoires entiers…

b_b · Juin 26, 2023, 3:31

Oui, certaines attaques font ça aussi, dans ce cas il suffit de restaure une sauvegarde et zou.

freedux · Juin 26, 2023, 7:10

Bonjour,

Faites attention, il peut aussi y avoir des fichiers vérolés dans le répertoire IMG !
Par exemple, un fichier php qui permet d’exécuter du code (eval("".base64_decode($b)).
Il pourrait s’appeler /IMG/about.php ou …

Bon nettoyage

Freed

jeanmarie · Juin 27, 2023, 4:27

Il est possible de réinitialiser et renvoyer le nouveau mot de passe par mail depuis la page auteur•rice.

Sinon, ce plugin s’il y a beaucoup d’auteu•rices Mots de passe expirables - SPIP-Contrib mais il faudra le désinstaller immédiatement après.