Bonjour,
j’ai aussi ce probleme sur le site d’un client.
J’ai refait une installe propre, en ne gardant que les squelettes, images et plugins.
J’ai changé le chemin de base du site web, et je le deploie depuis git.
Mais, je continue d’avoir le meme probleme:
- reecriture de index.php et spip.php
- suppression de .htaccess, htaccess.txt, et htacccess_unautresuffix.txt
c’est plutot pas mal fait, ca injecte une pub, mais le fait de supprimer le .htaccess plante les liens, donc pourrait mieux faire
peut etre aurais du reinstaller les plugins 1 par 1 plutot que garder les fichiers, mais c’est quand meme surprenant.
Spip et tous les plugins sont a jour.
Composed-By: SPIP 4.3.5 @ www.spip.net + spip(4.3.5),aide(3.2.5),archiviste(2.2.3),compagnon(3.1.5),dump(2.1.4),images(4.2.2),forum(3.1.11),mediabox(3.1.9),mots(4.2.2),plan(4.1.4),porte_plume(3.1.8),revisions(3.1.9),safehtml(3.1.3),sites(4.2.2),stats(3.1.9),urls(4.1.6),couteau_suisse(1.16.1),verifier_plugins(1.4.1),breves(3.1.3),yaml(3.1.2),verifier(3.3.0),facteur(5.2.0),socialtags(4.1.0),spip_bonux(4.2.0),simplog(2.1.0),select2(2.1.0),saisies(5.10.0),cextras(4.2.1),iextras(4.2.0),iterateurs(1.0.6),queue(0.6.8),jquery(3.6.4),csstidy(1.15.1),minidoc(1.0.3),ordoc(1.1.2),mejs(4.2.7),phpmailer(6.5.3),bigup(3.2.14),compresseur(2.1.7),medias(4.3.4),svp(3.1.11),tw(3.2.1),mailshot(3.4.0),accesrestreint(6.1.0),mailsubscribers(3.7.0),newsletters(2.2.0)
Je me demande quand meme s’il n’y a pas une faille quelque part dans un des plugins…
EDIT: j’en ai profité pour passer de php 8.2 à php 8.3 chez ovh, et activer le pare feu applicatif. C’est du mutu, donc pas d’acces direct au crontab, et je ne vois pas comment le hacker y aurait acces non plus de toute facon. A noter que l’attaque n’a lieu que tous les 2/3j, ca a l’air d’etre presque du manuel.