Cpanel/awstats et malware wp-vcd.php.358.UNOFFICIAL

Bonjour,
Ce malware wordpress tente de pirater spip, ceci est juste une information…

environnement
hebergement mutualisé avec cpanel
spip 3.2.19 (oui je sais)

Symptômes
Après connexion accès restreint nous dit qu’on doit être connecté pour consulter cette zone
il suffit de cliquer par exemple sur la bannière su site pour se retrouver en situation normale et correctement identifié

Explications du noob
le malware récupère les identifiants à la volée et redirige vers un dossier wordpress, pour s’installer, avec :
page=login&url=wordpress
le dossier n’existant pas sous spip, accès restreint n’est pas capable de déterminer les droits d’accès et considère que je ne suis pas autorisé pour cette zone.

Dommages
aucun, Le piratage échoue et la navigation est correcte dès qu’on a cliqué sur la bannière du site par exemple

Effets de bord (limités à la durée de « l’attaque »)
sur les utilisateurs au niveau des sites demandant une connexion (et sans doute pour les forums)
sur le trafic qui explose
Exemples de requêtes pendant la période
/wordpress
/wp
/bc
/new
/backup
/bk
/main
/home
/old
/admin/
/admin
/petites%20annonces%20gratuites
/wp-content/plugins/wp-automatic/changelog

Durée de l’attaque
environ une semaine en décroissance, la suppression des fichiers l’accélère.

périmètre de l’attaque
uniquement sur le domaine principal, du coup j’ai pas pu voir avec mon site en V4

Origine de l’attaque
c’est là que c’est intéressant. Ce sont des fichiers awstats situés dans le dossier tmp du premier niveau qui sont vérolés et uniquement eux. ils concernent domaine et/ou sous domaines
Ces fichiers sont répartis dans le temps, sans périodicité réelle.
A chaque fichier vérolé correspond une attaque, et ce, depuis 2021, pour moi
compte tenu que la consultation est d’environ 1fois tous les 2 mois, j’étais passé au travers.
je n’ai pas eu le temps d’appliquer la méthode @Stephane_Santon pour voir si cela la stoppait net.

Pourquoi cpanel/awstats
simplement parce que les divers utilisateurs ayant eu ce souci indiquent ce couple dans leurs messages, qui laisse à penser que ce sont des hébergements avec cpanel

Résolution du problème
pas de résolution définitive au niveau utilisateur selon leurs posts, puisque awstats pond régulièrement ses fichiers (13 depuis 2021 chez moi)
pour certain, cela s’est résolu au niveau de l’hébergeur
pour d’autres, cela est passé par un changement d’hébergeur

De mon coté, voici leur réponse

Ensuite, vous utilisez SPIP.
SPIP est tout de même réputé pour avoir l’un des CMS les plus piratés.
Rien que dans l’année, 3 faille de sécurité de leurs CMS ont fait tomber les SPIP de plusieurs centaines de clients chez nous

pour eux, spip vérole certains de leurs fichiers awstats car il est piraté par un virus wordpress

et leurs solutions
restaurer une version précédente, puis remettre les fichiers non restaurés (ils ne sauvegardent pas tout)
faire intervenir un informaticien spécialisé pour le nettoyage du site.

Il a fallu que je sois limite grossier pour qu’on me propose de détruire et recréer l’hébergement, à moi de me débrouiller pour tout réinstaller et recréer l’ensemble des comptes et autres règles.
Je n’ai pas encore choisi de le faire, compte tenu des risques pour mes mails

l’autre effet kiss-cool©
Les fichiers contiennent aussi magento.599.UNOFFICIAL pour ADOBE
Clt

Celle là est plutot bonne si cela ne relevait pas du préjugé. Ce qui est peut être vrai ce que dans la communauté des utilisateurices SPIP, beaucoup de gens ont pris l’habitude de ne pas mettre à jour. Mais ce n’est pas la faute du CMS en lui meme ^^ (bien que certains elements ait pu y contribuer, comme l’absence de notifications voire de mise à jour auto, mais c’est un sujet deja abordée ailleurs).

Sans vouloir être méchant, on pourrait avoir le nom de l’hébergeur :grimacing:
(histoire de savoir où ne pas aller)

Bonjour Jack31,
Ce qui m’intéressait de partager, c’est l’impression d’être piraté alors qu’il n’en est rien.
Par contre les utilisateurs que j’évoque étaient sous wordpress, → tout a nettoyer à cause d’un fichier awstats.
Donc
c’est un hébergeur que certains, ici, louent pour sa qualité de support, personnellement, j’ai eu pas mal de déboires.

Il est aussi cité dans les sujets pour son rapport qualité/prix qui est plus que correct au niveau hébergement.
D’ailleurs, c’est uniquement pour cela que je le garde et que je le mentionne comme hébergeur possible quand on me demande. (non, je n’ai pas de ristourne, surtout qu’ils doivent ma haïr)
Il faut seulement peser le pour et le contre et l’herbe n’est pas forcément plus verte (mais sans doute plus chère) ailleurs pour les petits comptes
je dirais seulement qu’il met un tigre dans son moteur. :innocent:

Après avoir sorti le lance flamme, les fiches d’alertes wp/adobe magento et l’impossibilité de trouver une info pertinente, vu que le web est envahi de site et forum, « comment enlever un virus wordpress. »
ils mont indiqué :

Si les cas ne sont pas recensés, c’est que SPIP est plus réactif pour les corrections, car leurs CMS dépend de leurs services, Wordpress dépend de sa communauté.

je vous laisse savourer (le gras est de moi)
je savais bien que la communauté spip, c’est du pipeau, heureusement qu’il y a des personnes professionnelles & grassement payées pour faire tourner le bouzin

La dernière solution proposée me semble la plus cohérente, mais bon, si c’est vraiment un souci cpanel…
Clt