Demande à l'aide - Site SPIP piraté

Merci Gilles…
Quand tu dis sauvegarder, est-ce que tu veux dire l’exporter (le dossier /spip ?)
sur mon disque dur depuis Phpmyadmin ?

En haut dans le menu on peut « exporter » (voir snapshot ci-dessous)

phpmyadmin1006×238 49.8 KB

exporte toutes les tables (les articles, rubriques, etc…) pour une sauvegarde locale, avant toute manipulation.
C’est dans phpMyAdmin, tu dois pouvoir télécharger la base au format .sql

Actuellement, le pirate n’a pas touché à ta base de données (c’est pour cela que tu la voie dans PHPMyAdmin).

Donc, l’export depuis PHPMyAdmin, c’est juste une sécurité si jamais ça foirait.

En pratique :

1. tu mets spip_loader.php par FTP sur ton hébergement à la racine du web
2. tu visites tonnomdedomaine.tld/spip_loader.php
3. tu choisis d’installer SPIP 3.2.19 ou mieux encore, 4.1.10
4. à la fin de l’installation, ça te renvois vers tonnomdedomaine.tld/ecrire
5. qui lance le processus de connexion à la base de données
6. là, tu fais une pause et par FTP, tu remets le dossier IMG de ta vieille sauvegarde
7. là, tu mets tes informations de connexion à la base qui existe déjà
8. pour renseigner l’admin du site, bonne nouvelle : pas besoin, la base contient déjà les bonnes informations, tu peux cliquer sur suivant sans rien remplir
9. et là, tu arrives dans l’insterface d’admin de SPIP et tu n’as plus qu’à réinstaller les plugins nécessaires au site et par FTP remettre le dossier squelettes, et admirer le résultat (et les pertes d’images).
10. il se peut que archive.org ait tes images manquantes

Merci beaucoup Gilles, je vais regarder le SQL pour exporter les tables.

Un grand merci pour ce message détaillé RealET.
Je vais exécuter à la lettre les pas à suivre et je vous tiendrai au courant.

Je tiens à remercier énormément toute la communauté SPIP pour tant de développeurs astucieux et solidaires. Le travail est impressionnant, l’entraide est là.

J’ai du mal à saisir le but pour les pirates de s’attaquer à des sites spip de cette façon…

Je garde Spip en révérence.
A tout bientôt. Encore merci.

Bon, dans la page d’accueil de l’un de mes sites piratés, il y avait un numéro de téléphone pour contacter le hackeur qui pouvait débloquer le site. Et même si cela parait gros, c’est ce que l’une de mes amies vient de faire, elle a téléphoné…

Et elle a eu le pirate au téléphone ?

Le 27/06/2023 à 09:06, Eric Le Meur via Discuter de SPIP a écrit :

Bon, dans la page d’accueil de l’un de mes sites piratés, il y avait un numéro de téléphone pour contacter le hackeur qui pouvait débloquer le site. Et même si cela parait gros, c’est ce que l’une de mes amies vient de faire, elle a téléphoné…

C’est pratique ces script kiddies qui laissent leurs coordonnées : tu peux plus facilement porter plainte contre une personne précise du coup ! (ce que devrait faire ton amie)

J’ai un client qui a eu ça aussi, avec lien vers une boite de sécurité à Chambéry… super malin

–
RastaPopoulos

Oui, le gars lui a demandé de faire deux ou trois manip, pour accéder à son ordi à distance. Il n’a rien réparé, mais il a copié une partie du disque.

J’ai eu cela dans la nuit de dimanche à lundi sur deux sites spip.
Ce piratage est léger : il n’y a que téléchargement d’un fichier index.html, avec signature et en effet lien de contact, annulation du fichier index.php initial, et installation à la racine de quelques fichiers, que je n’ai pas analysés.
Pas de destruction de base de données, ni des données de type images, squelettes, et autres fichiers personnels.
J’ai détruit les fichiers, réinstallé le index.php initial, vidé le cache, installé ecran_securite.php version 1.5.3, changé mes mots de passe d’accès au ftp, et à la base de données.
Tout s’est remis en ligne correctement.

Sur un de mes serveurs qui a été infecté pour plusieurs sites SPIP, le pirate a effacé plusieurs sites. Les scripts installés pour du minage de crypto ont consommé beaucoup de bande passante et de cpu sur le serveur (et entrainé un blocage de l’adresse IP par OVH). J’ai vu des traces de scripts installés par le pirate dans /usr/sbin : il est impossible de s’assurer que le pirate n’a pas laissé une backdoor qui échappe à l’effaçage des scripts à la racine du site et lui permettra de revenir plus tard (du coup ma seule solution est de réinstaller complètement le serveur). Aucune intrusion ne peut être considérée comme « légère ».

Je n’ose comprendre : il a COPIE une partie du disque ? C’est à dire qu’il a manuellement eu ACCES aux fichiers que son script n’avait pas récupéré ? Cette idée me terrifie !

Je comprends bien ce que tu veux dire. Dans mon cas, les sites ont aussi été bloqués par OVH, mais ce sont des sites installés sur des serveurs mutualisés ; en conséquence, je n’ai accès qu’au ftp racine du site, le reste est de leur responsabilité. Cela explique d’ailleurs certainement que les sites ont été bloqués dans la minute suivant le passage du pirate.

reçu par mail automatique immédiat d’OVH :
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : xFeuFDeuuCeu#
Exécutable utilisé : www/Isotope.x86
Horodatage: 2023-06-26 00:53:23

Je me suis donc uniquement assuré de réinstaller un contenu correct à la racine de www/
Bien sûr, je ne sais pas encore si les sites sont encore vulnérables, malgré le nouvel écran de sécurité 1.5.3 et les nouveaux mots de passe.

Il est impossible d’être certain à 100% qu’un site est safe. Car des pirates peuvent exploiter des failles qui n’ont pas été remontées à l’équipe de dev. La seule conduite à avoir pour réduire cette incertitude est de faire des mises à jour dès qu’une version est publiée. Je pense qu’à terme la solution sera d’inclure un script de mise à jour automatique comme on le trouve dans Wordpress (malgré le risque de faire planter un site, c’est toujours plus safe que de laisser une version obsolète en ligne )

Oui, merci gild, je comprends qu’il s’agit bien de deux choses différentes.
Sur mon serveur chez Gandi, j’ai en effet deux sites mutualisés dans un dossier vhosts. Seulement l’un des deux sites (le site le plus important en SPIP) a été touché.

J’ai changé la plupart des mot de passe (serveur, phpmyadmin…)

Je m’apprête à effectuer ce qui m’a été conseillé ici, à savoir uploader le spip_loader.php à la racine du site en question, qui pour le moment ne contient qu’un répertoire /htdocs vide (suite à l’effacement de son contenu par le pirate).

Je vais donc mettre à jour la version de SPIP vers une version plus récente, en espérant que cela ne pose pas trop de soucis de compatibilité avec les plugins entre autre… J’utilisai par example le plugin Commandes, qui semble être encore stable en v.4.1… on verra…

Je donnerai des nouvelles ici de comment cette tentative de récupération de mon site fonctionne pour moi…

Bonne journée à tous.

Bonjour
je gère une quinzaine de WP et ils sont paramétrés pour faire les maj mineurs en auto, les majeurs sont manuelle, les plugins sont en auto aussi sauf certain que je préfère lancer à la main
il arrive qu’un site plante mais ce n’est jamais une maj du core, en général c’est un plugin…
et je suis avertie de suite par un mail

pour défendre les WP j’utilise un plugin dédié « Wordfence » et pour certain clients importants en version payante
c’est lui qui fait le boulot et il est redoutablement efficace pour stopper de multiples tentatives d’injection
et surtout il bloque les ips , il scanne les dossiers/fichiers et, vérifie l’intégrité et les failles de plugins, envoi des mails de suivi, etc…

c’est en effet là la supériorité de Wordpress car le modèle gratuit / payant permet à des entreprises de se spécialiser dans un domaine et d’offrir une version « light » gratuite et une version complète payante

A mon avis, tu devrais commencer par une réinstallation de SPIP 3.2 avec les anciens plugins. Pour savoir s’ils sont compatibles SPIP 4.1, je t’invite à suivre les étapes indiquées sur Vérifier ses plugins avant un changement de version de SPIP - SPIP-Contrib

Merci, il me semble que c’est peut-être plus sage en effet, de faire d’abord l’installation de SPIP 3.2 et puis 4.1 par la suite, après vérification de compatibilité pour tous mes anciens plugins. Merci pour le lien !

Je n’arrive cependant malheureusement pas à lancer l’installation avec la dernière version de spip_loader que j’ai mis dans /htdocs…
J’ai actuellement PHP7 et MySQL 5.6… Est-ce lié à cela? Dois-je faire une mise à jour ?

Voici en image le résultat d’erreur qui s’affiche sur la page monsite.tld/spip_loader.php

error_spip_loader840×493 36.9 KB

Bonjour,

c’est un problème avec l’instance de Gandi. Vous pouvez voir avec eux pour relancer l’instance sinon il faudra mettre à jour à la main ou monter une autre instance pour migrer le site.

itou chez Gandi

un site hacké et tous les autres sites de l’instance en grande difficultés

• pas moyen de faire de mise à jour (erreurs meme avec les spip_loader de l’époque)
• lenteurs extrèmes (des dizaines de secondes à chaque page)

La seule issue possible : mettre à jour l’instance vers php8.x,
mais bien-sur il faut que les plugins soient compatibles et bien-sur certains sites ne supporteraient pas l’évolution, donc en stand-by pour l’instant