Bonjour, je viens d’être victime d’un piratage.
Je suis sous OVH, Spip 4.0, Php 7.3, squelette Html5up Spectral, (site epef.fr)
voici les faits :
Le site fonctionnait normalement, mais impossible de me loguer en administrateur. J’avais une page blanche sous firefox, et l’erreur 500 sous Edge.
J’ai fouillé un peu avec l’interface ovh, et me suis aperçu un nombre anormal de hits : 200 à la minute.
J’ai regardé les fichiers en ftp et voici la liste de fichiers bizarre que j’ai trouvé :
Il y avait une ligne de plus au début du fichier Spip.php :
$page = $_POST[‹ page ›]; if($page == ‹ spip_pass ›){ die(‹ La fonctionnalité de réinitialisation du mot de passe a été désactivée. ›); }
J’ai fais une restauration à j-15, (le maximum possible chez ovh) et le problème de login a disparu. J’ai pu reprendre la main.
Mais il me reste les fichiers bizarres apparus en septembre et aout. Seuls ceux du 11 octobre ont été effacés par la restauration.
Mes questions :
- est-ce qu’il peut se créer tout seul des fichiers php en fonctionnement normal ?
- est-ce que les fichiers php peuvent se modifier tout seul ?
- est-ce que des fichiers php peuvent s’ajouter sans toucher aux plugin ?
- par où les pirates sont-ils passés ?
Sur le forum ovh, on m’a dit qu’il devait y avoir des failles chez spip…
Bien à vous,
Pascal
Ps : si cela intéresse, j’ai tous les fichiers php des pirates.