Bonjour à tous,
Il semblerait donc que les 2 derniers mois aient connu au moins 2 vagues d’attaques massives et automatisées contre des sites tournant sous SPIP et non encore à jour avec la MAJ parue fin février 2023.
• 1ère vague connue : nuit du 23 mars. L’outil d’attaque est passé par l’intégralité de mes SPIP entre 4h48 et 5h08. Sites chez des hébergeurs différents. Versions de SPIP différentes.
Il semblerait donc que le « bot » ait interrogé une liste préalablement établie de sites SPIP. C’était bien ciblé.
Symptômes : fichiers php (noms aléatoires) retrouvés à la racine + fichier data.php
But apparent de la tentative : les fichiers php déposés par injection essaient d’interroger la base et de créer une liste des auteurs + mot de passe du site, dans un fichier sqlite créé dans config/bases/
Bilan : la tentative est-elle fructueuse ou pas ? Aucune idée. Pour certains sites, j’ai trouvés des fichiers sqlite vides. Je n’ai jamais trouvé de fichiers avec un contenu exploitable. Qu’en est-il pour vous ?
Que faire ? Les experts répondront plus en détails, mais personnellement, j’ai mis à jour Plugins + SPIP, puis j’ai fait une sauvegarde de base, sauvegardé mes dossiers IMG et squelettes, vérifié que ceux-ci ne contenaient pas de fichiers suspects créés à la même date. Puis j’ai effacé toute mon installation via FTP, avant de ré-installer à partir de zéro, puis de remettre en place mes sauvegardes sur la nouvelle version.
Seule façon de garantir que les pirates n’avaient pas écrit de fichiers php ailleurs, leur permettant d’avoir à nouveau un accès.
J’ai également demandé à tous mes auteurs (sur les différents sites) de changer leur mot de passe (au cas où l’export des auteurs aurait été fructueuse), ou plutôt, j’en ai généré un pour eux (grâce au bouton dédié), en les prévenant.
• 2. Deuxième vague début mai : Je n’ai pas été directement concerné par celle-ci, mais d’après ce que j’ai pu lire sur ce forum, cela se manifeste par une impossibilité d’accès au backoffice, due elle-même à une modification des fichiers htaccess et spip.php à la racine.
En 15 ans d’utilisation de SPIP, je n’ai rien connu de cette ampleur.
Existe-t-il à ce stade un article documenté sur ces attaques, leurs succès ?
Un article abordant également peut-être les mesures à prendre.
Évidemment, il aurait mieux valu mettre à jour à temps, mais nous n’en sommes hélas plus là (cela dit, la piqure de rappel a fonctionné pour moi, et il est clair que mes notifications pour les futures MàJ SPIP sont maintenant actives sur plusieurs canaux, et je n’attendrai plus plusieurs semaines avant de les lancer).
Aujourd’hui, il vaudrait peut-être mieux chercher à aider les victimes de ces attaques, aux compétences techniques souvent diverses, plutôt que de leur rappeler qu’elles ont tardé sur leur mise à jour.
Je peux fournir des fichiers + logs aux experts pour la 1ère vague évoquée ci-dessus.
Merci de m’avoir lu.