Bonjour,
Ce malware wordpress tente de pirater spip, ceci est juste une information…
environnement
hebergement mutualisé avec cpanel
spip 3.2.19 (oui je sais)
Symptômes
Après connexion accès restreint nous dit qu’on doit être connecté pour consulter cette zone
il suffit de cliquer par exemple sur la bannière su site pour se retrouver en situation normale et correctement identifié
Explications du noob
le malware récupère les identifiants à la volée et redirige vers un dossier wordpress, pour s’installer, avec :
page=login&url=wordpress
le dossier n’existant pas sous spip, accès restreint n’est pas capable de déterminer les droits d’accès et considère que je ne suis pas autorisé pour cette zone.
Dommages
aucun, Le piratage échoue et la navigation est correcte dès qu’on a cliqué sur la bannière du site par exemple
Effets de bord (limités à la durée de « l’attaque »)
sur les utilisateurs au niveau des sites demandant une connexion (et sans doute pour les forums)
sur le trafic qui explose
Exemples de requêtes pendant la période
/wordpress
/wp
/bc
/new
/backup
/bk
/main
/home
/old
/admin/
/admin
/petites%20annonces%20gratuites
/wp-content/plugins/wp-automatic/changelog
Durée de l’attaque
environ une semaine en décroissance, la suppression des fichiers l’accélère.
périmètre de l’attaque
uniquement sur le domaine principal, du coup j’ai pas pu voir avec mon site en V4
Origine de l’attaque
c’est là que c’est intéressant. Ce sont des fichiers awstats situés dans le dossier tmp du premier niveau qui sont vérolés et uniquement eux. ils concernent domaine et/ou sous domaines
Ces fichiers sont répartis dans le temps, sans périodicité réelle.
A chaque fichier vérolé correspond une attaque, et ce, depuis 2021, pour moi
compte tenu que la consultation est d’environ 1fois tous les 2 mois, j’étais passé au travers.
je n’ai pas eu le temps d’appliquer la méthode @Stephane_Santon pour voir si cela la stoppait net.
Pourquoi cpanel/awstats
simplement parce que les divers utilisateurs ayant eu ce souci indiquent ce couple dans leurs messages, qui laisse à penser que ce sont des hébergements avec cpanel
Résolution du problème
pas de résolution définitive au niveau utilisateur selon leurs posts, puisque awstats pond régulièrement ses fichiers (13 depuis 2021 chez moi)
pour certain, cela s’est résolu au niveau de l’hébergeur
pour d’autres, cela est passé par un changement d’hébergeur
De mon coté, voici leur réponse
Ensuite, vous utilisez SPIP.
SPIP est tout de même réputé pour avoir l’un des CMS les plus piratés.
Rien que dans l’année, 3 faille de sécurité de leurs CMS ont fait tomber les SPIP de plusieurs centaines de clients chez nous
pour eux, spip vérole certains de leurs fichiers awstats car il est piraté par un virus wordpress
et leurs solutions
restaurer une version précédente, puis remettre les fichiers non restaurés (ils ne sauvegardent pas tout)
faire intervenir un informaticien spécialisé pour le nettoyage du site.
Il a fallu que je sois limite grossier pour qu’on me propose de détruire et recréer l’hébergement, à moi de me débrouiller pour tout réinstaller et recréer l’ensemble des comptes et autres règles.
Je n’ai pas encore choisi de le faire, compte tenu des risques pour mes mails
l’autre effet kiss-cool©
Les fichiers contiennent aussi magento.599.UNOFFICIAL pour ADOBE
Clt