[Résolu] Mon site a été hacké

Salut à tous,

Quelq’un a eu acces a mon ftp et a modifier les fichiers spip.php et les fichier ecrire/public.php et ecrire/inc_version.php. J’ai effacer les codes qu’il a mis et je re-installer le site web et modifier tous les mots de passe. Mais il a parveni a modifier encore les fichiers. Mon site web est sous version spip 4.3.3

Voila les codes qu’il utilise:

function isBot($userAgent) {
return (strpos(strtolower($userAgent), ‹ googlebot ›) === false && strpos(strtolower($userAgent), ‹ bot ›) !== false);
}
$userAgent = $_SERVER[‹ HTTP_USER_AGENT ›];

if (isBot($userAgent)) {
header(‹ Location: https://sonsiteweb.com/ ›, TRUE, 301);
die();
}

Je pense que c’est une faille.

Merci pour vos retours.

Bonjour,

Il faudrait déjà voir si votre hébergeur propose un scan dans son panel hébergement afin de scanner et nettoyer le disque.
Pas de fichier non spip dans votre hébergement ? Regardez partout.

Ensuite mettre à jour SPIP dès qu’une version sort est recommander pour éviter de laisser des failles active.

Hébergeur a tous scanner mais rien…je vais faire la mise à jour spip 4.3.4.
Mais j’avais le meme probleme sous spip 4.3.2 et meme sous 4.3.3

Merci!

Il est très peu probable que ce soit l’accès FTP qui ait été utilisé.
SPIP 4.3.2 contient une faille de sécurité qui permet à une hackeuse de faire ce qu’elle veut sur l’hébergement.
Donc, cette dernière a sans doute laissé des fichiers qui lui permettent de continuer à œuvrer tranquillement.
Exemple vu dernièrement : spip_lang.php à la racine du site.

Bref, après un hack, il faut vraiment nettoyer le site très attentivement !

En lisant les échanges des discutions Sujets avec l'étiquette site-piraté on trouve comment bien nettoyé

1 « J'aime »

Récemment quelqu’un a témoigné qu’après avoir tout nettoyé, il lui avait fallu arrêter et redémarer l’instance (ou demander à l’hébergeur de le faire si l’interface de l’hébergement ne le permet pas)

Ça pourrait en effet être nécessaire si un virus parvient à subsister en mémoire

1 « J'aime »

Oui je pense qu’il a laisse quelque fichiers…peut etre dans squelette,… (les seules fichiers que je n’avais pas touche).

Merci pour vos réponses.

Bien vérifier aussi ou demander à faire vérifier les crontabs, c’est un vecteur par lequel des fichiers malveillants se réinstallent sans cesse.

2 « J'aime »

Hello

Ne pas oublier spip-contrib-outils / spip_cleaner · GitLab
qui traite une bonne partie des problèmes indiqués
dont le scan du crontab

2 « J'aime »

Salut,

Pendant que j’ai nettoyé tous les fichiers du site, j’ai enfin trouvé le fichier .php que le hackeur avait deposé dans l’un de mes dossiers du site que j’utilise dans l’apparence du site. Au moment du mise a jour du spip 4.3.2 au spip 4.3.3 je n’avais pas regarder dans se dossier et je pense que le hackeur utilisais cet fichier qui lui permetter d’avoir access a mon site et de modifier le fichier spip.php, ecrire/public.php et ecrire/inc_version.php.

Enfin j’ai modifié tous mes mots de passes et mon site est sous spip 4.3.4.

Merci!


Hello

Pourrais tu ouvrir un ticket sur spip-contrib-outils / spip_cleaner · GitLab ? avec le fichier , son chemin et son nom.
Je vais voir si il est détecté ou non par le script , merci :slight_smile:

Hello,

Comment ouvrir un ticket> avec le ficher, son chemin et son nom? j’ai le fichier sur mon ordinateur.

Hello

Tu dois

  1. activer ton compte sur git.spip.net
  2. ouvrir un ticket depuis Connexion · GitLab

De là tu pourras déposer les informations utiles dont le fichier vérolé

Merci :slight_smile:

Hello,

Le fichier est déjà deposé.

Merci

Salut,
Je voudrais confirmer que ce problème est résolu.
Merci!