Piratage d'un site Spip par by iskorpitx

Bonjour à tous,

Pour information : mon site sous Spip 192 h a été piraté cette nuit par le pirate qui signe « by iskorpitx » (voir sur google).
Sans gravité heureusement car il s’est contenté de remplacer le fichier index.php à la racine du site.
Je suppose que la faille provient de ma version de Spip.
Y-a-t-il une parade contre ce pirate (je vais faire la mise à jour aujourd’hui vers la dernière version connue de spip) ?

Salutations,

Les Sab !

----- Original Message -----
From: les sab
To:
Sent: Tuesday, November 06, 2007 8:17 AM
Subject: Fw: Vider le fichier temp

Bonjour et merci Pierre pour ta réponse,

En fait, si je veux vider le cache via le ftp c’est parce que je ne peux pas le vider via l’interface de l’espace privé sans planter l’affichage du site en ligne.
J’obtiens alors le message d’erreur suivant (avec un numéro de ligne variable) !

Fatal error: Cannot redeclare html_de13cc962cc48a7f7960257306bd4e54() (previously declared in /home/www/sab/www/ecrire/public/composer.php(48) : eval()'d code:12) in /home/www/sab/www/ecrire/public/composer.php(48) : eval()'d code on line 57

C’est le fichier «composer» qui pose problème… mais quel est son rôle dans spip ?

A chaque fois, pour rétablir l’affichage, je suis obligé de télécharger à nouveau, via ftp, tout le contenu du dossier dist/squelettes…

Je ne sais pas d’où provient ce bug mais je soupçonne son origine dans l’option spip et le cache du couteau suisse que j’avais activée pour augmenter la taille du cache (mon cache est régulièrement de 11 ou 12 mo).

Par ailleurs, sous la version 192b, le suivi des forums de l’espace public ne fonctionne plus (peut-être aussi à cause du couteau suisse) et depuis peu, pour chaque article, il est devenu impossible d’afficher le graphique SVG « évolution des visites ». Seul le graphique de l’évolution de tout le site s’affiche correctement.

Ce sont des petits bugs, sans doute pas très graves, mais tout de même un peu embarrassants.

Je compte passer en version 192c prochainement… en espérant que cela corrige au moins une partie de ces petites soucis…

@ bientôt,

Amicalement,

Sab

thierry-sabot a écrit :

Bonjour à tous,
Pour information : mon site sous Spip 192 h a été piraté cette nuit par le pirate qui signe "by iskorpitx" (voir sur google).
Sans gravité heureusement car il s'est contenté de remplacer le fichier index.php à la racine du site.

il faut bien verifier, car souvent il y a une petite backdoor bien cachée en plus...
tu as fais un diff avec une sauvegarde recente ?
quoi qu'il en soit, il te faut changer tes mots de passe (au moins SQL) car ils lui ont été accessibles.

Je suppose que la faille provient de ma version de Spip.
Y-a-t-il une parade contre ce pirate (je vais faire la mise à jour aujourd'hui vers la dernière version connue de spip) ?

si j'ai bien suivi, pour la 1.9.2, la dernière faille corrigée ne pouvait etre exploitée que par les admin restreints...

Donc soit il n'est pas passé par SPIP, soit il a exploité une faille non corrigée à ce jour.

As-tu des plugins ?
d'autres choses installées sur le meme espace ?
quel est le type d'hebergement ?

Merci pour ta réponse,

Pour l'instant je n'ai pas trouvé de backdoor.
Je compte repartir avec une mise à jour propre (d'abord vers la 192i puis la dernière version 2) après avoir supprimé manuellement les fichiers de la version 192h.

J'ai changé les mots de passe SQL mais comment a-t-il pu les connaître ???
D'autant que je suis le seul administrateur du site.

Le site est hébergé chez Céléonet en mutualisé.
L'hébergeur ne semble pas au courant.

Voici la liste de mes plugins :
Cfg moteur de configuration, corbeille, Couteau Suisse, Envoyer par mail, Gestion de documents, Téléchargeur, Imprimer le document.

Sur le même espace, je n'ai rien d'autre.

Salutations ,

Les Sab

"Stephane" <stephane@rezo.net> a écrit dans le message de news:4A93A706.7000107@rezo.net...
thierry-sabot a écrit :

Bonjour à tous,
Pour information : mon site sous Spip 192 h a été piraté cette nuit par le pirate qui signe "by iskorpitx" (voir sur google).
Sans gravité heureusement car il s'est contenté de remplacer le fichier index.php à la racine du site.

il faut bien verifier, car souvent il y a une petite backdoor bien
cachée en plus...
tu as fais un diff avec une sauvegarde recente ?
quoi qu'il en soit, il te faut changer tes mots de passe (au moins SQL)
car ils lui ont été accessibles.

Je suppose que la faille provient de ma version de Spip.
Y-a-t-il une parade contre ce pirate (je vais faire la mise à jour aujourd'hui vers la dernière version connue de spip) ?

si j'ai bien suivi, pour la 1.9.2, la dernière faille corrigée ne
pouvait etre exploitée que par les admin restreints...

Donc soit il n'est pas passé par SPIP, soit il a exploité une faille non
corrigée à ce jour.

As-tu des plugins ?
d'autres choses installées sur le meme espace ?
quel est le type d'hebergement ?

Les Sab a écrit :

Merci pour ta réponse,

Pour l'instant je n'ai pas trouvé de backdoor.
Je compte repartir avec une mise à jour propre (d'abord vers la 192i puis la dernière version 2) après avoir supprimé manuellement les fichiers de la version 192h.

oui, c'est plus prudent

J'ai changé les mots de passe SQL mais comment a-t-il pu les connaître ???

si il a changé l'index, il a pu mettre temporairement un script pour afficher ton /config/connect.php...

D'autant que je suis le seul administrateur du site.

Le site est hébergé chez Céléonet en mutualisé.
L'hébergeur ne semble pas au courant.

as-tu acces aux logs ?
il faudrait voir sur quel script il s'est appuyé pour faire ca

Voici la liste de mes plugins :
Cfg moteur de configuration, corbeille, Couteau Suisse, Envoyer par mail, Gestion de documents, Téléchargeur, Imprimer le document.

il faut aussi les mettre à jour, quels sont les versions des plugins (ou au moins les dates auquelles tu les as téléchargés) ?
il y a plus de chance que la faille soit la que dans SPIP...

Sur le même espace, je n'ai rien d'autre.

meme pas un vieux phpMyAdmin (grosse faille comblée récemment)

Je ne trouve pas les logs.
Peut-être ne sont-ils pas activés.

Je vais aussi mettre à jour les plugins.

J'ai bien phpMyAdmin mais il est installé par l'hébergeur.
Je ne pense pas pouvoir le mettre à jour moi-même.
Sa version actuelle est la suivante :
phpMyAdmin - 2.11.9.5
MySQL v 4.1.22-standard

A noter que lorsque je me connecte à PhpMyAdmin, j'ai ce message d'alerte qui apparait :
La version de votre bibliothèque MySQL (5.0.45) diffère de la version de votre serveur MySQL (4.1.22). Ceci peut occasionner un comportement imprévisible.

Merci pour ton aide et tes conseils.

en surfant sur le net, on peut voir que je ne suis pas le seul a avoir été piraté par by iskorpitx

"Stephane" <stephane@rezo.net> a écrit dans le message de news:4A93B6DE.6060604@rezo.net...
Les Sab a écrit :

Merci pour ta réponse,

Pour l'instant je n'ai pas trouvé de backdoor.
Je compte repartir avec une mise à jour propre (d'abord vers la 192i puis la dernière version 2) après avoir supprimé manuellement les fichiers de la version 192h.

oui, c'est plus prudent

J'ai changé les mots de passe SQL mais comment a-t-il pu les connaître ???

si il a changé l'index, il a pu mettre temporairement un script pour
afficher ton /config/connect.php...

D'autant que je suis le seul administrateur du site.

Le site est hébergé chez Céléonet en mutualisé.
L'hébergeur ne semble pas au courant.

as-tu acces aux logs ?
il faudrait voir sur quel script il s'est appuyé pour faire ca

Voici la liste de mes plugins :
Cfg moteur de configuration, corbeille, Couteau Suisse, Envoyer par mail, Gestion de documents, Téléchargeur, Imprimer le document.

il faut aussi les mettre à jour, quels sont les versions des plugins (ou
au moins les dates auquelles tu les as téléchargés) ?
il y a plus de chance que la faille soit la que dans SPIP...

Sur le même espace, je n'ai rien d'autre.

meme pas un vieux phpMyAdmin (grosse faille comblée récemment)

Les Sab a écrit :

Je ne trouve pas les logs.
Peut-être ne sont-ils pas activés.

tu dois pouvoir les demander à l'hebergeur alors.
il faut surement chercher une requete qui contienne du "../"

Je vais aussi mettre à jour les plugins.

J'ai bien phpMyAdmin mais il est installé par l'hébergeur.
Je ne pense pas pouvoir le mettre à jour moi-même.
Sa version actuelle est la suivante :
phpMyAdmin - 2.11.9.5
MySQL v 4.1.22-standard

ca c'est bon

A noter que lorsque je me connecte à PhpMyAdmin, j'ai ce message d'alerte qui apparait :
La version de votre bibliothèque MySQL (5.0.45) diffère de la version de votre serveur MySQL (4.1.22). Ceci peut occasionner un comportement imprévisible.

ca c'est pas très grave (en tous cas, pas pour SPIP)

Merci pour ton aide et tes conseils.

en surfant sur le net, on peut voir que je ne suis pas le seul a avoir été piraté par by iskorpitx

visiblement, c'est une pointure, à la place de ton hebergeur, je m'inquieterais un peu...
il a l'air de jouer directement au niveau des infrastructures (failles apache ou IIS, SSH...).
Le bon coté des choses, c'est qu'il a l'air de faire ca gentillement effectivement (juste defacement).

à tout hasard, est-ce que tes mots de passe SQL et FTP etaient identiques ?
est-ce qu'ils etaient solides (nb de caracteres, majuscules/minuscules/chiffres/caracteres speciaux, ...)

tres souvent, ce sont les comptes FTP qui sont en fait tout simplement cassés avec des dictionnaires à partir de robots, mais ca, c'est plutot simple techniquement, pas le genre de truc qui doit encore l'amuser vu son palmarès...

Mes mots de passe ftp et mysql ne sont pas identiques.
Par solides que veux-tu dire ?
Les miens se composent de chiffres et de lettres en minuscules.

"Stephane" <stephane@rezo.net> a écrit dans le message de news:4A93C35E.1050106@rezo.net...
Les Sab a écrit :

Je ne trouve pas les logs.
Peut-être ne sont-ils pas activés.

tu dois pouvoir les demander à l'hebergeur alors.
il faut surement chercher une requete qui contienne du "../"

Je vais aussi mettre à jour les plugins.

J'ai bien phpMyAdmin mais il est installé par l'hébergeur.
Je ne pense pas pouvoir le mettre à jour moi-même.
Sa version actuelle est la suivante :
phpMyAdmin - 2.11.9.5
MySQL v 4.1.22-standard

ca c'est bon

A noter que lorsque je me connecte à PhpMyAdmin, j'ai ce message d'alerte qui apparait :
La version de votre bibliothèque MySQL (5.0.45) diffère de la version de votre serveur MySQL (4.1.22). Ceci peut occasionner un comportement imprévisible.

ca c'est pas très grave (en tous cas, pas pour SPIP)

Merci pour ton aide et tes conseils.

en surfant sur le net, on peut voir que je ne suis pas le seul a avoir été piraté par by iskorpitx

visiblement, c'est une pointure, à la place de ton hebergeur, je
m'inquieterais un peu...
il a l'air de jouer directement au niveau des infrastructures (failles
apache ou IIS, SSH...).
Le bon coté des choses, c'est qu'il a l'air de faire ca gentillement
effectivement (juste defacement).

à tout hasard, est-ce que tes mots de passe SQL et FTP etaient identiques ?
est-ce qu'ils etaient solides (nb de caracteres,
majuscules/minuscules/chiffres/caracteres speciaux, ...)

tres souvent, ce sont les comptes FTP qui sont en fait tout simplement
cassés avec des dictionnaires à partir de robots, mais ca, c'est plutot
simple techniquement, pas le genre de truc qui doit encore l'amuser vu
son palmarès...

Bonjour à tous,

Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx

Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de faire une mise à jour propre de spip 192h à spip 192i (avec suppression manuelle de tous les fichiers de la 192h), de changer tous mes mots de passe et de désactiver les plugins (mais peut-être aurais-je dû aussi enlever le répertoire plugin du serveur).

Nouveauté du jour : je suis aussi victime de spam dans la partie privée du site (mais les messages ne sont pas validés donc pas visibles en ligne). Voici les adresses des spammeurs :
sfoheof@ahf.com
gkgds@jghdysg.com
khsd@sdhf.com
idufgsd@sdjgh.com
jhdsf@skfskh.com
test@test.com

J'ai récupéré le fichier logs de la journée d'hier et de ce matin... mais comme je ne sais comment interpréter toutes ces lignes je ne sais trop quoi en penser...

Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je croise les doits pour que tout se passe bien !

J'aimerais avoir votre avis sur cette mésaventure,

Salutations,

Thierry

"Les Sab" <lessab@orange.fr> a écrit dans le message de news:h70gj5$k9v$1@ger.gmane.org...
Mes mots de passe ftp et mysql ne sont pas identiques.
Par solides que veux-tu dire ?
Les miens se composent de chiffres et de lettres en minuscules.

"Stephane" <stephane@rezo.net> a écrit dans le message de
news:4A93C35E.1050106@rezo.net...
Les Sab a écrit :

Je ne trouve pas les logs.
Peut-être ne sont-ils pas activés.

tu dois pouvoir les demander à l'hebergeur alors.
il faut surement chercher une requete qui contienne du "../"

Je vais aussi mettre à jour les plugins.

J'ai bien phpMyAdmin mais il est installé par l'hébergeur.
Je ne pense pas pouvoir le mettre à jour moi-même.
Sa version actuelle est la suivante :
phpMyAdmin - 2.11.9.5
MySQL v 4.1.22-standard

ca c'est bon

A noter que lorsque je me connecte à PhpMyAdmin, j'ai ce message d'alerte qui apparait :
La version de votre bibliothèque MySQL (5.0.45) diffère de la version de votre serveur MySQL (4.1.22). Ceci peut occasionner un comportement imprévisible.

ca c'est pas très grave (en tous cas, pas pour SPIP)

Merci pour ton aide et tes conseils.

en surfant sur le net, on peut voir que je ne suis pas le seul a avoir été piraté par by iskorpitx

visiblement, c'est une pointure, à la place de ton hebergeur, je
m'inquieterais un peu...
il a l'air de jouer directement au niveau des infrastructures (failles
apache ou IIS, SSH...).
Le bon coté des choses, c'est qu'il a l'air de faire ca gentillement
effectivement (juste defacement).

à tout hasard, est-ce que tes mots de passe SQL et FTP etaient identiques ?
est-ce qu'ils etaient solides (nb de caracteres,
majuscules/minuscules/chiffres/caracteres speciaux, ...)

tres souvent, ce sont les comptes FTP qui sont en fait tout simplement
cassés avec des dictionnaires à partir de robots, mais ca, c'est plutot
simple techniquement, pas le genre de truc qui doit encore l'amuser vu
son palmarès...

Bonjour à tous,

Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx

Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de faire une mise à jour propre de spip 192h à spip 192i (avec suppression manuelle de tous les fichiers de la 192h), de changer tous mes mots de passe et de désactiver les plugins (mais peut-être aurais-je dû aussi enlever le répertoire plugin du serveur).

Nouveauté du jour : je suis aussi victime de spam dans la partie privée du site (mais les messages ne sont pas validés donc pas visibles en ligne). Voici les adresses des spammeurs :
sfoheof@ahf.com
gkgds@jghdysg.com
khsd@sdhf.com
idufgsd@sdjgh.com
jhdsf@skfskh.com
test@test.com

J'ai récupéré le fichier logs de la journée d'hier et de ce matin... mais comme je ne sais comment interpréter toutes ces lignes je ne sais trop quoi en penser...

Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je croise les doits pour que tout se passe bien !

J'aimerais avoir votre avis sur cette mésaventure,

Salutations,

Thierry

"Les Sab" <lessab@orange.fr> a écrit dans le message de news:h70gj5$k9v$1@ger.gmane.org...
Mes mots de passe ftp et mysql ne sont pas identiques.
Par solides que veux-tu dire ?
Les miens se composent de chiffres et de lettres en minuscules.

"Stephane" <stephane@rezo.net> a écrit dans le message de
news:4A93C35E.1050106@rezo.net...
Les Sab a écrit :

Je ne trouve pas les logs.
Peut-être ne sont-ils pas activés.

tu dois pouvoir les demander à l'hebergeur alors.
il faut surement chercher une requete qui contienne du "../"

Je vais aussi mettre à jour les plugins.

J'ai bien phpMyAdmin mais il est installé par l'hébergeur.
Je ne pense pas pouvoir le mettre à jour moi-même.
Sa version actuelle est la suivante :
phpMyAdmin - 2.11.9.5
MySQL v 4.1.22-standard

ca c'est bon

A noter que lorsque je me connecte à PhpMyAdmin, j'ai ce message d'alerte qui apparait :
La version de votre bibliothèque MySQL (5.0.45) diffère de la version de votre serveur MySQL (4.1.22). Ceci peut occasionner un comportement imprévisible.

ca c'est pas très grave (en tous cas, pas pour SPIP)

Merci pour ton aide et tes conseils.

en surfant sur le net, on peut voir que je ne suis pas le seul a avoir été piraté par by iskorpitx

visiblement, c'est une pointure, à la place de ton hebergeur, je
m'inquieterais un peu...
il a l'air de jouer directement au niveau des infrastructures (failles
apache ou IIS, SSH...).
Le bon coté des choses, c'est qu'il a l'air de faire ca gentillement
effectivement (juste defacement).

à tout hasard, est-ce que tes mots de passe SQL et FTP etaient identiques ?
est-ce qu'ils etaient solides (nb de caracteres,
majuscules/minuscules/chiffres/caracteres speciaux, ...)

tres souvent, ce sont les comptes FTP qui sont en fait tout simplement
cassés avec des dictionnaires à partir de robots, mais ca, c'est plutot
simple techniquement, pas le genre de truc qui doit encore l'amuser vu
son palmarès...

Les Sab a écrit :

J'aimerais avoir votre avis sur cette mésaventure,

hum.
à cette heure-ci, et si je ne me trompe (peut-être ai-je mal identifié
ton site...), tes répertoires config/ et tmp/ sont
accessibles par http...

(tu es bien passé en 2.0.9 vers 9h30 ?)

Les Sab a écrit :
> Bonjour à tous,
>
> Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx
>
> Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de
> faire une mise à jour propre de spip 192h à spip 192i (avec
> suppression manuelle de tous les fichiers de la 192h), de changer tous
> mes mots de passe et de désactiver les plugins (mais peut-être
> aurais-je dû aussi enlever le répertoire plugin du serveur).

ben visiblement tu n'es pas le seul et les autres que je vois ne sont pas sous SPIP
regarde http://www.zone-h.com/archive/defacer=iskorpitx

>
> Nouveauté du jour : je suis aussi victime de spam dans la partie
> privée du site (mais les messages ne sont pas validés donc pas
> visibles en ligne). Voici les adresses des spammeurs :
> sfoheof@ahf.com
> gkgds@jghdysg.com
> khsd@sdhf.com
> idufgsd@sdjgh.com
> jhdsf@skfskh.com
> test@test.com
>

ca c'est autre chose.
c'est un robot qui accroche tout type de forum pour faire du spam de referer.
plusieurs plugins antispam permettent d'eliminer ces messages.

> J'ai récupéré le fichier logs de la journée d'hier et de ce matin...
> mais comme je ne sais comment interpréter toutes ces lignes je ne sais
> trop quoi en penser...

quel(s) log(s) ?
apache ? les accès ?
quelle taille ils font ?
en gros, il faut trouver les requetes suspectes, commence déja par ce qui contient un "../"
mais à mon avis, tu va trouver plutot une ligne tres longue avec plein de codes bizarres car c'est plus probablement des failles d'apache ou de PHP qu'il a employé

>
> Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je
> croise les doits pour que tout se passe bien !

tu as pas mal de plugins, as-tu vérifié qu'il y avait bien des versions compatibles pour chaque ?

>
> J'aimerais avoir votre avis sur cette mésaventure,

il faut voir ce qu'il y a dans les logs.
s'il n'y a rien de suspect, tu peux aussi demander les logs FTP, pour voir si tu es bien le seul à les utiliser
aussi bien, tu t'es simplement fait piqué les codes d'acces...

@++

Vous êtes chez quel hébergeur, pour ceux qui se sont fait pirater ?

-----Message d'origine-----
De : Stephane [mailto:stephane@rezo.net]
Envoyé : mercredi 26 août 2009 13:33
À : Les Sab
Cc : spip@rezo.net
Objet : Re: [Spip] Piratage d'un site Spip par by iskorpitx

Les Sab a écrit :
> Bonjour à tous,
>
> Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx
>
> Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de
> faire une mise à jour propre de spip 192h à spip 192i (avec
> suppression manuelle de tous les fichiers de la 192h), de changer tous
> mes mots de passe et de désactiver les plugins (mais peut-être
> aurais-je dû aussi enlever le répertoire plugin du serveur).

ben visiblement tu n'es pas le seul et les autres que je vois ne sont
pas sous SPIP
regarde http://www.zone-h.com/archive/defacer=iskorpitx

>
> Nouveauté du jour : je suis aussi victime de spam dans la partie
> privée du site (mais les messages ne sont pas validés donc pas
> visibles en ligne). Voici les adresses des spammeurs :
> sfoheof@ahf.com
> gkgds@jghdysg.com
> khsd@sdhf.com
> idufgsd@sdjgh.com
> jhdsf@skfskh.com
> test@test.com
>

ca c'est autre chose.
c'est un robot qui accroche tout type de forum pour faire du spam de
referer.
plusieurs plugins antispam permettent d'eliminer ces messages.

> J'ai récupéré le fichier logs de la journée d'hier et de ce matin...
> mais comme je ne sais comment interpréter toutes ces lignes je ne sais
> trop quoi en penser...

quel(s) log(s) ?
apache ? les accès ?
quelle taille ils font ?
en gros, il faut trouver les requetes suspectes, commence déja par ce
qui contient un "../"
mais à mon avis, tu va trouver plutot une ligne tres longue avec plein
de codes bizarres car c'est plus probablement des failles d'apache ou de
PHP qu'il a employé

>
> Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je
> croise les doits pour que tout se passe bien !

tu as pas mal de plugins, as-tu vérifié qu'il y avait bien des versions
compatibles pour chaque ?

>
> J'aimerais avoir votre avis sur cette mésaventure,

il faut voir ce qu'il y a dans les logs.
s'il n'y a rien de suspect, tu peux aussi demander les logs FTP, pour
voir si tu es bien le seul à les utiliser
aussi bien, tu t'es simplement fait piqué les codes d'acces...

@++
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Chez Céléonet mais je ne sais pas pour les autres sites piratés (mais il y a au moins un autre site céléonet).

"Samy Rabih" <samy.rabih@free.fr> a écrit dans le message de news:4434.35947313464$1251286710@news.gmane.org...
Vous êtes chez quel hébergeur, pour ceux qui se sont fait pirater ?

-----Message d'origine-----
De : Stephane [mailto:stephane@rezo.net]
Envoyé : mercredi 26 août 2009 13:33
À : Les Sab
Cc : spip@rezo.net
Objet : Re: [Spip] Piratage d'un site Spip par by iskorpitx

Les Sab a écrit :
> Bonjour à tous,
>
> Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx
>
> Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de
> faire une mise à jour propre de spip 192h à spip 192i (avec
> suppression manuelle de tous les fichiers de la 192h), de changer tous
> mes mots de passe et de désactiver les plugins (mais peut-être
> aurais-je dû aussi enlever le répertoire plugin du serveur).

ben visiblement tu n'es pas le seul et les autres que je vois ne sont
pas sous SPIP
regarde http://www.zone-h.com/archive/defacer=iskorpitx

>
> Nouveauté du jour : je suis aussi victime de spam dans la partie
> privée du site (mais les messages ne sont pas validés donc pas
> visibles en ligne). Voici les adresses des spammeurs :
> sfoheof@ahf.com
> gkgds@jghdysg.com
> khsd@sdhf.com
> idufgsd@sdjgh.com
> jhdsf@skfskh.com
> test@test.com
>

ca c'est autre chose.
c'est un robot qui accroche tout type de forum pour faire du spam de
referer.
plusieurs plugins antispam permettent d'eliminer ces messages.

> J'ai récupéré le fichier logs de la journée d'hier et de ce matin...
> mais comme je ne sais comment interpréter toutes ces lignes je ne sais
> trop quoi en penser...

quel(s) log(s) ?
apache ? les accès ?
quelle taille ils font ?
en gros, il faut trouver les requetes suspectes, commence déja par ce
qui contient un "../"
mais à mon avis, tu va trouver plutot une ligne tres longue avec plein
de codes bizarres car c'est plus probablement des failles d'apache ou de
PHP qu'il a employé

>
> Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je
> croise les doits pour que tout se passe bien !

tu as pas mal de plugins, as-tu vérifié qu'il y avait bien des versions
compatibles pour chaque ?

>
> J'aimerais avoir votre avis sur cette mésaventure,

il faut voir ce qu'il y a dans les logs.
s'il n'y a rien de suspect, tu peux aussi demander les logs FTP, pour
voir si tu es bien le seul à les utiliser
aussi bien, tu t'es simplement fait piqué les codes d'acces...

@++
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Ben oui, mais que dois-je faire pour protéger le site ???

Merci pour ton aide

@ bientôt...

Sincères salutations,

TS

"denisb" <denisb@laposte.net> a écrit dans le message de news:h72uni$hjj$1@ger.gmane.org...
Les Sab a écrit :

J'aimerais avoir votre avis sur cette mésaventure,

hum.
à cette heure-ci, et si je ne me trompe (peut-être ai-je mal identifié
ton site...), tes répertoires config/ et tmp/ sont
accessibles par http...

(tu es bien passé en 2.0.9 vers 9h30 ?)

Les Sab a écrit :

Ben oui, mais que dois-je faire pour protéger le site ???

euh...
faudrait voir avec céléonet qui, apparemment, bypass le .htaccess de spip (config et tmp) pour se l'envoyer dans son honeypot à lui...

là, je sais plus (qui a la main sur quoi).

Il me semble aussi qu'il n'y a pas que des sites Spip... C'est même certain.
Je ne sais pas s'il s'agit tous de sites hébergés chez Céléonet... mais c'est vrai pour au moins 2 ou 3.

Comme j'avais désactivé les plugins et notamment le couteau suisse les spammeurs sont passés à nouveau.
Depuis la mise à jour de la version 209 et l'activation du couteau suisse, ils ne passent plus.

J'ai récupéré les logs à la racine du site pour la journée d'hier et la matinée d'aujourd'hui.
Ils s'agit des logs de l'activité du site.
Perso, je ne vois rien de très suspect ou bizarre...
mais il y a notamment quelques lignes sur des robots :
81.52.143.26 - - [26/Aug/2009:01:02:49 +0200] "GET /robots.txt HTTP/1.1" 404 300 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) VoilaBot BETA 1.2 (support.voilabot@orange-ftgroup.com)"
81.52.143.26 - - [26/Aug/2009:01:02:57 +0200] "GET /robots.txt HTTP/1.1" 404 300 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) VoilaBot BETA 1.2 (support.voilabot@orange-ftgroup.com)"

si nécessaire, je peux t'envoyer le fichier des logs (14,5 mo) ou au moins la partie qui correspond à la date d'aujourd'hui (car le piratage a eu lieu ce matin après minuit).

la mise à jour vers la version 209 s'est très bien déroulé (comme quoi il ne faut pas en faire une "montagne")... il me reste juste à ajuster un peu les squelettes.
en effet, tous les plugins ne sont pas comptatible (une bonne occasion pour faire le tri).
Je n'ai gardé pour l'instant que le Couteau Suisse et la Corbeille2.

Merci pour ton aide,

TS

"Stephane" <stephane@rezo.net> a écrit dans le message de news:4A951D53.7070702@rezo.net...
Les Sab a écrit :
> Bonjour à tous,
>
> Quelques nouvelles de mon site Spip piraté hier matin by iskorpitx
>
> Rebelote aujourd'hui alors que j'avais eu le temps dans la journée de
> faire une mise à jour propre de spip 192h à spip 192i (avec
> suppression manuelle de tous les fichiers de la 192h), de changer tous
> mes mots de passe et de désactiver les plugins (mais peut-être
> aurais-je dû aussi enlever le répertoire plugin du serveur).

ben visiblement tu n'es pas le seul et les autres que je vois ne sont
pas sous SPIP
regarde http://www.zone-h.com/archive/defacer=iskorpitx

>
> Nouveauté du jour : je suis aussi victime de spam dans la partie
> privée du site (mais les messages ne sont pas validés donc pas
> visibles en ligne). Voici les adresses des spammeurs :
> sfoheof@ahf.com
> gkgds@jghdysg.com
> khsd@sdhf.com
> idufgsd@sdjgh.com
> jhdsf@skfskh.com
> test@test.com
>

ca c'est autre chose.
c'est un robot qui accroche tout type de forum pour faire du spam de
referer.
plusieurs plugins antispam permettent d'eliminer ces messages.

> J'ai récupéré le fichier logs de la journée d'hier et de ce matin...
> mais comme je ne sais comment interpréter toutes ces lignes je ne sais
> trop quoi en penser...

quel(s) log(s) ?
apache ? les accès ?
quelle taille ils font ?
en gros, il faut trouver les requetes suspectes, commence déja par ce
qui contient un "../"
mais à mon avis, tu va trouver plutot une ligne tres longue avec plein
de codes bizarres car c'est plus probablement des failles d'apache ou de
PHP qu'il a employé

>
> Aujourd'hui, je vais faire la mise à jour vers Spip version 2... je
> croise les doits pour que tout se passe bien !

tu as pas mal de plugins, as-tu vérifié qu'il y avait bien des versions
compatibles pour chaque ?

>
> J'aimerais avoir votre avis sur cette mésaventure,

il faut voir ce qu'il y a dans les logs.
s'il n'y a rien de suspect, tu peux aussi demander les logs FTP, pour
voir si tu es bien le seul à les utiliser
aussi bien, tu t'es simplement fait piqué les codes d'acces...

@++

euh pardonne moi mais je n'ai pas tout compris !!!
notamment : bypass le .htaccess de
spip (config et tmp) pour se l'envoyer dans son honeypot à lui...

Mes excuses pour mon ignorance... J'ai honte !

"denisb" <denisb@laposte.net> a écrit dans le message de news:h7397p$h4p$1@ger.gmane.org...
Les Sab a écrit :

Ben oui, mais que dois-je faire pour protéger le site ???

euh...
faudrait voir avec céléonet qui, apparemment, bypass le .htaccess de
spip (config et tmp) pour se l'envoyer dans son honeypot à lui...

là, je sais plus (qui a la main sur quoi).

Les Sab a écrit :

euh pardonne moi mais je n'ai pas tout compris !!!

les accès http sur tmp/ ou config/ sont désormais redirigés
sur http://honey.celeonet.fr/

(et donc, ce n'est pas de ton fait)

si si c'est de mon fait car après ton message la seule parade que j'ai trouvée pour empêcher l'accès aux fichiers confg et tmp a été de modifier via ftp les droits d'accès de ces 2 fichiers.

en fait je ne sais pas ce qu'il faut faire pour blinder l'accès a ces 2 fichiers et plus globalement pour sécurité spip et mon site.

si tu peux m'indiquer une solution...

Merci par avance,

TS

"denisb" <denisb@laposte.net> a écrit dans le message de news:h73a89$km0$1@ger.gmane.org...
Les Sab a écrit :

euh pardonne moi mais je n'ai pas tout compris !!!

les accès http sur tmp/ ou config/ sont désormais redirigés
sur http://honey.celeonet.fr/

(et donc, ce n'est pas de ton fait)

Les Sab a écrit :

en fait je ne sais pas ce qu'il faut faire pour blinder l'accès a ces 2 fichiers et plus globalement pour sécurité spip et mon site.

ces 2 répertoires (tmp/ et config/) sont de base
protégés par un fichier .htaccess présent dans chacun
d'entre-eux et contenant juste la directive :
   deny from all

ces fichiers .htaccess sont-ils présents dans ces répertoires
sur ton site ?

spip 2.0.9 est actuellement sécurisé au mieux dans l'état des connaissances de ses développeurs (sous réserve, donc -car ce
n'est pas un état définitif- de l'apparition
de nouvelles failles)