Bonjour,
depuis quelque temps mon site sous spip 1.9.1 (puis 1.9.2b) est sans cesse victime de hack.
Le principe rajouter en display:none un div contenant des URL pour de l’achat de viagra … et compagnie.
Et cet ajout se fait sur les fichiers suivants :
/index.php
/dist/images/index.php
/dist/vignettes/index.php
/ecrire/index.php
/oo/index.php
/ecrire/inc/auth.php
/ecrire/oo/index.php
Les symptomes: une erreur 302 lors de l’accès à la partie « ecrire », un ecnoding tout cassé sur cette même partie écrire et, evidement des superbes urls de spam dans les codes sources des pages.
J’a évidement fouillé les logs … en n’ayant rien trouvé. Les forums ont été descatives, mais le hack est quand même passé.
Quelqu’un à une idée d’ou cela peut venir ? et de la solution eventuelle pour fermer la faille ?
Merci, par avance.
Guillaume.
Guillaume C. wrote:
Bonjour,
depuis quelque temps mon site sous spip 1.9.1 (puis 1.9.2b) est sans cesse
victime de hack.
Le principe rajouter en display:none un div contenant des URL pour de
l'achat de viagra ... et compagnie.
Et cet ajout se fait sur les fichiers suivants :
/index.php
/dist/images/index.php
/dist/vignettes/index.php
/ecrire/index.php
/oo/index.php
/ecrire/inc/auth.php
/ecrire/oo/index.php
Les symptomes: une erreur 302 lors de l'accès à la partie "ecrire", un
ecnoding tout cassé sur cette même partie écrire et, evidement des superbes
urls de spam dans les codes sources des pages.
J'a évidement fouillé les logs ... en n'ayant rien trouvé. Les forums ont
été descatives, mais le hack est quand même passé.
Quelqu'un à une idée d'ou cela peut venir ? et de la solution eventuelle
pour fermer la faille ?
Difficile de répondre comme ça, mais j'oserais imaginer que la faille est ailleurs que chez spip ...
Un truc ftp ou autre ?
Ceci dit, une fois qu'un de ces pourris s'est ménagé un accès, il peut a priori aller où et modifier ce qu'il veut.
Déjà, quelles perms as-tu sur ces fichiers (et les autres .php) ?
Ils doivent être en lecture seule et si possible (propriétaire:group) uniquement pour le serveur.
Est-ce hébergé (chez qui?) ou sur une machine à toi ?
As-tu accès aux logs d'apache (oui c'est lourd) ?
--
toggg
Le principe rajouter en display:none un div contenant des URL pour de
l'achat de viagra ... et compagnie.
Et cet ajout se fait sur les fichiers suivants :
/index.php
/dist/images/index.php
La dernière fois que j'ai vu ça, le pirate avait en fait essayé plein
de mots de passe FTP jusqu'à trouver le bon... et ensuite il s'était
attaqué aux fichiers .php
-- Fil
Fil a écrit :
Le principe rajouter en display:none un div contenant des URL pour de
l'achat de viagra ... et compagnie.
Et cet ajout se fait sur les fichiers suivants :
/index.php
/dist/images/index.php
La dernière fois que j'ai vu ça, le pirate avait en fait essayé plein
de mots de passe FTP jusqu'à trouver le bon... et ensuite il s'était
attaqué aux fichiers .php
sinon, certaines versions de phpBB avaient un trou de secu enorme permettant de modifier les fichiers PHP.
Mais dans Spip, à priori, sauf trou de sécurité enorme qu'on aurait pas vu, rien ne permet d'aller modifier ces fichiers...