Salut.
J’ai reçu un message de GOOGLE Search Console qui dit :
Nous avons remarqué que cococococo@gmail.com (e-mail ICI caché) a été ajouté comme propriétaire de http://www.argotheme.com/organecyberpresse/IMG/distant/xml/article/.
Il s’agit d’un site SPIP à cette url Populi-Scoop - Dès 2006 : citoyen, utile & critique.
Je ne comprends pas quelle est cette URL : http://www.argotheme.com/organecyberpresse/IMG/distant/xml/article/. ?
Je ne trouve pas de propriétaire rajouté.
Même sujet,
Que dois-je trouver dans ce fichier ORIGINAL : /IMG/distant/xml/cache.txt
Est-ce que tu as bien vérifié que ce n’est pas un spam/hoax/hameçonnage ?
ça en a tout l’air
Message vient de google.
Ce qui m’étonne, c’est une url spécifique qui a un nouveau propriétaire, celle-là : IMG/distant/xml/article/.
Ce n’est pas l’url qui aurait un nouveau propriétaire, mais le dossier article… (et peut être des droits modifiés)
Donc vérifier les propriétés du dossier
Merci à vous de me dire où trouver le modèle de : monsite/IMG/distant/xml/article
original, pour que je compare le contenu.
-
une url est un chemin pointant vers un dossier ou un fichier :
Ici c’est le dossier article et non quelque chose contenu dans ce dossier sinon, le fichier/dossier dans « article » et qui aurait changé de propriétaire serait précisé. -
les propriétés d’un dossier/fichier comprennent selon les systèmes :
le propriétaire et ses droits d’accès
les utilisateurs et leurs droits d’accès
Visiblement, selon ce que vous indiquez; c’est le propriétaire qui a changé et motive l’alerte : il faut vérifier et si le propriétaire n’est pas logique, il y a un problème.
Il se peut d’ailleurs que ce soit un simple ajout d’utilisateurs, je n’ai jamais vu qu’on puisse AJOUTER un propriétaire à un dossier/fichier… -
il me semble que vous aviez été piraté, si vous n’avez pas fait d’installation propre, ou que vous ayez remis des fichiers non essentiels il est possible que votre site soit toujours vérolé
-
je ne suis pas dev et je n’ai pas de répertoire distant dans mes mini sites actuellement :
je ne peux donc vous aider à ce niveau. ce répertoire semble être créé par l’appel de documents hébergés hors du site. -
si j’étais dans votre cas, étant bourrin, je ferai une sauvegarde (base+fichiers) et puis une install propre SANS remettre le dossier distant. Du peu que je sais, ce dossier devrait se reconstituer proprement de lui même. et en cas de problème vous pourriez revenir au point de départ, voire à une sauvegarde antérieure à l’alerte.
Là s’arrêtent mes compétences
Bon dimanche
Merci pour les indications et orientation.
Si j’efface le dossier distant, quel est le risque ?
Voici ce que je trouve dans le dossier : IMG/distant/xml/article
Les fichiers dans cet ordre. Je crois ici un travail suspect
1- en_indexapi
2- googlead------------.html
3- googlee-------afc.html
4- id’nvOpzp; AND 1=1 OR (<’">iKO)),_indexapi.txt
5- id_indexapi.txt
6- index.php
7- isus.php
a priori, rien, il se recrée puis reconstitue son contenu au fur et à mesure lors des consultations qui font appel à des docs externes.
pour cela je laisse le bébé aux spécialistes…
Il y a probablement eu des intrusions malveillantes sur ton site avec dépôt de codes et fichiers.
Même si tu as une version à jour récente de SPIP, il faut vérifier les fichiers et répertoires manuellement, et donc ceux sous IMG.
Si j’efface le dossier distant, quel est le risque ?
Si tu as des documents distants dedans tu les effacera et ils ne reviendront pas magiquement
Lance cette requête depuis PHPMyAdmin ou équivalent
SELECT * FROM `spip_documents` WHERE `fichier` LIKE '%distant%'
pour savoir quels sont les documents qui devraient y être (en espérant que ta BDD ne soit pas corrompue bien sûr)
montre qu’il y a eu (au moins une tentative de) hack
Salut.
J’ai essayé d’effacer par FTP ce fichier, je reçois : * Impossible de supprimer le fichier id’nvOpzp; AND 1=1 OR (’"iKO)),_indexapi.txt
si j’installe la dernière version spip, je suis en 424 et je passe à 425
EST-ce que ça va régler le souci ?
Merci.
je viens de retrouver une ancienne archive d’un site comprenant un distant, je l’ai remis en route et j’ai modifié le nom du dossier en distant2 pour le conserver et pouvoir le comparer : Il s’est recréé et reconstitué à l’identique dès que j’ai consulté des articles faisant appel à ces docs distants.
Par contre, faut pas me demander comment ça marche et à quoi ça sert
#bourrin, #St Thomas
Salut
Mon site a été bloqué par les hackers.
Avant que je termine le nettoyage
Je cherche un coup de main pour le relancer.
Merci
Il faut distinguer la BDD et les fichiers.
- par sécu, tu sauvegardes l’un et l’autre avant
Pour les fichiers, tu renommes ton répertoire sur lequel pointe ton domaine et tu le recrées au propre. Tu remettras dedans le rep IMG une fois nettoyé.
Pour la BDD, tu vérifies le contenu de la table spip_auteurs, tu supprimes les auteurs inconnus.
Regarde sur discuter.spip tout ce qui concerne dernièrement « Alerte de sécurité de SPIP » pour faire une installation propre.
DONC
grosse FAILLE pour SPIP 424
Et avec écran de sécurité 152
Es-tu certain que le site ne s’est pas fait hacker par le biais d’un autre SPIP pas à jour sur le même hébergement ?
Mise à jour critique de l’écran de sécurité 1.5.2 1.5.3 - SPIP Blog
Ça n’est pas normal d’avoir SPIP 4.2.4 avec ES 1.5.2 (c’est 1.5.3 en principe).
En réalité, je ne suis pas sûr, peut-être ecran secu 153