Demande à l'aide - Site SPIP piraté

Help! Mon site a donc été piraté, une version 3.1… un gros site, que j’avais développé il y a plusieurs années et sur plusieurs années, dont je m’occupais régulièrement mais qui tenait bien…et restait très actif. Nous avions envoyé notre dernière newsletter il y a seulement quelques jours.
Plus d’accès à la partie privée, erreur 403 sur la page d’accueil, toutes les pages appellées me retourne une triste page blanche avec « file not found ». Je tente d’accéder par ftp à tous mes fichiers, et grande surprise et désarroi, TOUT le contenu du dossier htdocs a complètement disparu. Je contacte GANDI, mon hébergeur et il me disent que ce piratage est arrivé à plusieurs sites utilisant SPIP ces derniers jours, effaçant tout le contenu.

Vous pouvez imaginer le choc… L’accouchement du site a été long (n’étant pas une programmeuse pro, mais juste aventurière et persévérante) et j’étais si heureuse d’y être arrivée grâce à ce merveilleux outil qu’est et que reste SPIP, ainsi qu’à l’aide de cette communauté SPIP si riche et solidaire.

Il devait y avoir une faille de sécurité dans SPIP 3.1, mais sachant toute la difficulté et les risques provisoires de mettre un SPIP à jour, je ne l’ai pas effectuée à temps.

J’ai réalisé une sauvegarde il y a longtemps de tout le dossier htdocs, dont je dispose encore, et j’ai fait une sauvegarde très récente de la base de donnée via l’interface privée de SPIP, mais j’ai omis très malheureusement de la télécharger sur mon ordinateur.

Je parviens à me connecter à Phpmyadmin et je tombe sur un dossier /spip avec par exemple spip_adresses, spip_albums, spip_auteurs, spip_articles…

Est-ce que j’ai une chance de pouvoir récupérer mon site à peu près comme il était, et si oui, comment ?

Puis-je retrouver ma sauvegarde effectuée sur SPIP dans Phpmyadmin ?

Quelle serait la marche à suivre ? Je suis un peu perdue et serai très reconnaissante de votre aide.

Merci d’avance.
Lucie.

salut
l’idée générale est que le texte est sauvegardée dans la table spip_articles ( je crois pour 3.1 ), donc pas perdu.
Il te suffit de réinstaller la même version et d’utiliser ces tables.

1. sauvegarder tes tables dans un coin

Mais les images étaaint dans IMG donc tu peux en retrouver une partie dans ta vieille sauvegarde;
peut etre que le cache de ton navigateur en a aussi des photos et documents.

Bonsoir Lucie,

Il y a deux choses différentes :

• la base de données à laquelle tu accèdes avec phpmyadmin
• les fichiers et sous-répertoires (IMG, ecrire, …) dans le répertoire /htdocs auquel tu accèdes en FTP

Est-ce que Gandi ne dispose pas de sauvegardes automatiques des fichiers et de la base de données ? C’est un serveur mutualisé ?

Gilles

Bonsoir,

Si la base de données est là, il suffit de re-uploader et tout reconnecter (avec la même version). ensuite mise à jour et voilà. Pour les images, il faudrait faire un re-upload manuel.

Courage

On Mon, Jun 26, 2023 at 5:46 PM Lucie via Discuter de SPIP <noreply@discuter.spip.net> wrote:

	Lucie Juin 26

Help! Mon site a donc été piraté, une version 3.1… un gros site, que j’avais développé il y a plusieurs années et sur plusieurs années, dont je m’occupais régulièrement mais qui tenait bien…et restait très actif. Nous avions envoyé notre dernière newsletter il y a seulement quelques jours.
Plus d’accès à la partie privée, erreur 403 sur la page d’accueil, toutes les pages appellées me retourne une triste page blanche avec « file not found ». Je tente d’accéder par ftp à tous mes fichiers, et grande surprise et désarroi, TOUT le contenu du dossier htdocs a complètement disparu. Je contacte GANDI, mon hébergeur et il me disent que ce piratage est arrivé à plusieurs sites utilisant SPIP ces derniers jours, effaçant tout le contenu.

Vous pouvez imaginer le choc… L’accouchement du site a été long (n’étant pas une programmeuse pro, mais juste aventurière et persévérante) et j’étais si heureuse d’y être arrivée grâce à ce merveilleux outil qu’est et que reste SPIP, ainsi qu’à l’aide de cette communauté SPIP si riche et solidaire.

Il devait y avoir une faille de sécurité dans SPIP 3.1, mais sachant toute la difficulté et les risques provisoires de mettre un SPIP à jour, je ne l’ai pas effectuée à temps.

J’ai réalisé une sauvegarde il y a longtemps de tout le dossier htdocs, dont je dispose encore, et j’ai fait une sauvegarde très récente de la base de donnée via l’interface privée de SPIP, mais j’ai omis très malheureusement de la télécharger sur mon ordinateur.

Je parviens à me connecter à Phpmyadmin et je tombe sur un dossier /spip avec par exemple spip_adresses, spip_albums, spip_auteurs, spip_articles…

Est-ce que j’ai une chance de pouvoir récupérer mon site à peu près comme il était, et si oui, comment ?

Puis-je retrouver ma sauvegarde effectuée sur SPIP dans Phpmyadmin ?

Quelle serait la marche à suivre ? Je suis un peu perdue et serai très reconnaissante de votre aide.

Merci d’avance.
Lucie.

---

Voir le sujet ou répondre à ce courriel pour répondre.

Pour vous désabonner de ces courriels, cliquez ici.

As-tu pu faire des snaphots : Comment créer des snapshots de votre Hébergement Web | Hébergement Web – Opérations courantes | Gandi Documentation — Documentation Documentation Gandi

Merci à tous pour votre aide. Je n’ai pas de snapshot et le service technique hébergement de GANDI m’a dit de rien pouvoir faire pour moi car ils ne sauvegardent pas la base de données de leurs clients, à moins d’avoir activé l’option sur leur interface, chose que je ne savais pas… c’est ma faute, mais j’avoue être surprise que cette option ne soit pas activée par défaut (j’imagine que c’est pour eux une raison ergonomique)…

Si je comprends bien vos messages, je dois :

1/D’une part télécharger la même version de SPIP 3.1 que j’avais.
2/Mettre le dossier htdocs et tous ses sous dossiers sur mon domaine via ftp
3/Exporter ma base de données /spip à laquelle oh miracle! j’ai toujours une visibilité sur phpmyadmin…

Savez-vous si c’est bien dans cet ordre que je dois procéder ?
Je ne comprend pas bien comment faire une fois que j’ai exporté ma base de donnée spip via Phpmyadmin quoi faire, j’imagine que j’aurai un fichier, dois-je l’uploader sur Spip? Si oui, comment?

Je m’excuse d’être un peu basique dans mes questions… je suis encore un peu dépassée par cet événement et sous le choc, et en plus mes connaissances sont un peu limitées…
mais j’apprend vite et je tâcherai d’executer vos moindres directions avec précision.

Merci encore.

Commence par sauvegarder ta base de données avant de tenter une restauration. Ensuite ça devrait être bon.

Par ailleurs, est-ce qu’il y a des mesures à prendre de sécurité de mes données vis a vis du site en question ? Je n’ai pas accès à grand chose mais sait-on jamais que vous ayez des suggestions…

Il faut tout de suite faire une mise à jour vers la dernière version de SPIP 3.2 (ou mieux, SPIP 4) - Il y a une dernière version de l’écran de sécurité que tu peux installer.

Merci Gilles…
Quand tu dis sauvegarder, est-ce que tu veux dire l’exporter (le dossier /spip ?)
sur mon disque dur depuis Phpmyadmin ?

En haut dans le menu on peut « exporter » (voir snapshot ci-dessous)

phpmyadmin1006×238 49.8 KB

exporte toutes les tables (les articles, rubriques, etc…) pour une sauvegarde locale, avant toute manipulation.
C’est dans phpMyAdmin, tu dois pouvoir télécharger la base au format .sql

Actuellement, le pirate n’a pas touché à ta base de données (c’est pour cela que tu la voie dans PHPMyAdmin).

Donc, l’export depuis PHPMyAdmin, c’est juste une sécurité si jamais ça foirait.

En pratique :

1. tu mets spip_loader.php par FTP sur ton hébergement à la racine du web
2. tu visites tonnomdedomaine.tld/spip_loader.php
3. tu choisis d’installer SPIP 3.2.19 ou mieux encore, 4.1.10
4. à la fin de l’installation, ça te renvois vers tonnomdedomaine.tld/ecrire
5. qui lance le processus de connexion à la base de données
6. là, tu fais une pause et par FTP, tu remets le dossier IMG de ta vieille sauvegarde
7. là, tu mets tes informations de connexion à la base qui existe déjà
8. pour renseigner l’admin du site, bonne nouvelle : pas besoin, la base contient déjà les bonnes informations, tu peux cliquer sur suivant sans rien remplir
9. et là, tu arrives dans l’insterface d’admin de SPIP et tu n’as plus qu’à réinstaller les plugins nécessaires au site et par FTP remettre le dossier squelettes, et admirer le résultat (et les pertes d’images).
10. il se peut que archive.org ait tes images manquantes

Merci beaucoup Gilles, je vais regarder le SQL pour exporter les tables.

Un grand merci pour ce message détaillé RealET.
Je vais exécuter à la lettre les pas à suivre et je vous tiendrai au courant.

Je tiens à remercier énormément toute la communauté SPIP pour tant de développeurs astucieux et solidaires. Le travail est impressionnant, l’entraide est là.

J’ai du mal à saisir le but pour les pirates de s’attaquer à des sites spip de cette façon…

Je garde Spip en révérence.
A tout bientôt. Encore merci.

Bon, dans la page d’accueil de l’un de mes sites piratés, il y avait un numéro de téléphone pour contacter le hackeur qui pouvait débloquer le site. Et même si cela parait gros, c’est ce que l’une de mes amies vient de faire, elle a téléphoné…

Et elle a eu le pirate au téléphone ?

Le 27/06/2023 à 09:06, Eric Le Meur via Discuter de SPIP a écrit :

Bon, dans la page d’accueil de l’un de mes sites piratés, il y avait un numéro de téléphone pour contacter le hackeur qui pouvait débloquer le site. Et même si cela parait gros, c’est ce que l’une de mes amies vient de faire, elle a téléphoné…

C’est pratique ces script kiddies qui laissent leurs coordonnées : tu peux plus facilement porter plainte contre une personne précise du coup ! (ce que devrait faire ton amie)

J’ai un client qui a eu ça aussi, avec lien vers une boite de sécurité à Chambéry… super malin

–
RastaPopoulos

Oui, le gars lui a demandé de faire deux ou trois manip, pour accéder à son ordi à distance. Il n’a rien réparé, mais il a copié une partie du disque.

J’ai eu cela dans la nuit de dimanche à lundi sur deux sites spip.
Ce piratage est léger : il n’y a que téléchargement d’un fichier index.html, avec signature et en effet lien de contact, annulation du fichier index.php initial, et installation à la racine de quelques fichiers, que je n’ai pas analysés.
Pas de destruction de base de données, ni des données de type images, squelettes, et autres fichiers personnels.
J’ai détruit les fichiers, réinstallé le index.php initial, vidé le cache, installé ecran_securite.php version 1.5.3, changé mes mots de passe d’accès au ftp, et à la base de données.
Tout s’est remis en ligne correctement.

Sur un de mes serveurs qui a été infecté pour plusieurs sites SPIP, le pirate a effacé plusieurs sites. Les scripts installés pour du minage de crypto ont consommé beaucoup de bande passante et de cpu sur le serveur (et entrainé un blocage de l’adresse IP par OVH). J’ai vu des traces de scripts installés par le pirate dans /usr/sbin : il est impossible de s’assurer que le pirate n’a pas laissé une backdoor qui échappe à l’effaçage des scripts à la racine du site et lui permettra de revenir plus tard (du coup ma seule solution est de réinstaller complètement le serveur). Aucune intrusion ne peut être considérée comme « légère ».