[Résolu] Site hacké impossible à vider

Stephane_Santon · Décembre 14, 2024, 8:26

Bonjour,
J’ai eu un site hacké. J’ai voulu tout vider, et impossible… supprimé tous les dossiers sauf… www/wp-content
D’abord supprimé le dossier www, pas facile, les droits étaient à 555, si je repassais à 777, il repassait à 555 dans les 3 secondes.
Donc en jonglant avec Filezilla, dans la seconde, j’arrivais à le supprimer.
Mais il est réapparu dans les 2 secondes !
Changé les mots de passe ftp.
Encore pareil, impossible de supprimer les nombreux fichiers créés.
Quand je supprimer .htaccess et index.php à la racine, ils réapparaissent !
Comment est-ce possible ?
Merci

RealET · Décembre 14, 2024, 8:52

Comme d’autres ont pu déjà l’indiquer : une tâche cron qui remet le hack ?

Stephane_Santon · Décembre 14, 2024, 9:07

Bonjour,
J’imaginais ça. Mais je supprime tous les fichiers.
Ça veut dire que la tâche CRON a été créée en chargeant le programme en mémoire, et qu’elle n’a pas besoin de recharger le fichier .php exécuté chaque fois qu’elle est relancée ?
C’est sur un serveur OVH mutualisé. Comme arrêter la tâche ?
Merci

RealET · Décembre 15, 2024, 10:59

Il a été aussi suggéré de redémarrer le serveur (pour hack restant en mémoire).

Il est possible que chez OVH, ça puisse se faire en changeant la version de PHP (2 fois : 1 fois pour une autre, 1 fois pour revenir à la version souhaitée).

Stephane_Santon · Décembre 15, 2024, 4:52

Bonjour,
J’ai réussi à stopper la régénération virale des fichiers en créant un fichier .ovhconfig définissant une version PHP 4.3 et pare-feu activé…
Merci du tuyau pour le changement de version PHP.

pierretux · Décembre 15, 2024, 7:17

Bonsoir,

PHP 4.3 ? Ne serais ce pas 8.3 ?
et je lisais plus haut un « wp-content » c’est pas du SPIP cela donc un erreur ?

Merci

Stephane_Santon · Décembre 15, 2024, 8:03

Non non, bien 4.3, pour avoir une chance que le script actuel ne fonctionne plus avec une vieille version de php

C’est bien un site SPIP qui a été hacké, mais le script crée le dossier racine www et un sous-dossier wp-content, même sur un site SPIP, et même s’il n’y a plus aucun autre fichier sur l’hébergement !

pierretux · Décembre 16, 2024, 6:58

Donc version de SPIP très ancienne non ?

Stephane_Santon · Décembre 16, 2024, 7:52

NNAANNNNN !
Je ne faisais pas tourner SPIP sur ce PHP.
Il n’y avait plus AUCUN fichier sur l’hébergement !
Juste les 2 dossiers et 5 fichiers qui se régénéraient par une tâche CRON après chaque vidage complet…

L’objectif du PHP vieille version était de faire planter le script en tâche CRON (voire de créer une erreur 500 du serveur), donc d’arrêter la tâche.