Hier, un site tournant sur spip 4.2.11 a été hacké. " OMTOGEL ".
Deux fichiers ont été placés à la racine du serveur, index.php et app.php
J’ai également identifié un fichier index.php placé dans /lib, contenant Obfuscated by YAK Pro - Php Obfuscator 2.0.14 | GitHub: GitHub - pk-fr/yakpro-po: YAK Pro - Php Obfuscator
Après suppression de ces fichiers, et mise à jour vers la dernière version 4.3.2 le site est de nouveau fonctionnel et j’espère que la faille est corrigée.
Des pistes pour vérifier s’il y a d’autres atteintes ?
Site en vrac, le fichier index.php a de nouveau été remplacé.
J’ai trouvé à la racine de l’hébergement, dans un rep .config, un fichier détecté par mon AV comme étant Hack Tool Linux GsNetcat.
Et ce fichier vérolé peut avoir été placé au-dessus de ton site si ils ont réussi à passer …
N’empêche, pour t’assurer que ton site est clean, plutôt que d’ouvrir tes dossiers un à un, tu réinstalles un SPIP propre (le plus simple est d’utiliser spip_loader.php qui nettoies aussi ce qui ne va pas) et tu vérifies ces répertoires avant de les basculer dedans.
IMG
config
plugins
squelettes
Et tu ne perdra pas les données de ton site puisque le fichier de connexion dans config/connect.php est conservé. Tes données de site étant dans cette base Mysql.
Après, merci de suivre ces conseils scrupuleusement, ça devient difficile d’aider. En ce qui me concerne j’ai décidé que le SAD se ferme automatiquement quand il s’agit de personnes qui ne prennent pas le temps de lire et ne suivent pas les conseils qu’on leur apporte … Le bénévolat dans ces cas là, niet.
Une petite recherche indique que c’est un virus qui touche Ubuntu 20.04 - J’ai l’impression que ce n’est pas ton site qui est à l’origine de ce piratage. Est-ce que c’est toi qui gère l’hébergement ?
Tu es bien sûr qu’il n’y a pas du tout de crontab ?
Vérifier aussi les contenus de /tmp, /var/tmp et /dev/shm dans lesquels Apache peut écrire, qui sont souvent ciblés pour y déposer des fichiers malveillants.
çà ressemble à la vague d’attaque post bigup. Correction arrivant avec la 4.2.16 si ma mémoire est bonne. spip-contrib-outils / spip_cleaner · GitLab s’occupe d’identifier les pattern type remontée par la communauté au fil des hacks et nettoyage réalisé.
Il s’occupe aussi de contrôler les crontab
Je complète avec amwscan qui détectera des compléments intéressants.
Quand il est possible il est préférable de mettre en place une instance vierge et de réimporter la base de données.
J’ai trouvé et supprimé hier deux fichiers Gs Netcat, dans des rep .config et .softaculous. à la racine de l’heberg.
Depuis, pas de suppression ni d’injection de code.
Pour spip_cleaner, je n’ai pas d’accès console sur OVH.
Bonjour
j’ai eu le même problème hier avec les même fichier que Larc. Initialement, j’avais la même version que lui
J’ai effacé entièrement l’hébergement et installé la version d’août 2024. Ce soir site à nouveau piraté
il n’y avait plus qu’un index.php avec une redirection vers un site web (le même que hier).
J’ai à nouveau tout effacé et installé la version 4.3 de ce jour.
A voir…
bonne soirée
Claude
J’imagine que le script est à placer à la racine.
Par contre, désolé d’être ignare mais lancer un script depuis bash sous Spip, cela dépasse mon domaine de compétence.
