Site piraté, hébergement vidé

Stephane_Santon · Novembre 3, 2024, 10:33

Bonjour,
J’ai un site qui a été piraté avec tous les fichiers du site supprimés, le 16 octobre dernier, chez OVH mutualisé.
Il était en 4.2.X, je ne suis pas sûr de sa mise à jour, mes autres sites sont bien en 4.2.16.
Pas d’accès FTP dans les logs.
Apparemment par http, des url d’accès bizarres vers 18h30.
/local/cache-vignettes/L133xH100/nom_d_image.jpg.link.php?ddelete&dirpath=/home/domain/www/local/cache-vignettes/L283xH192&dir=/home/domain/www/local/cache-vignettes

J’ai tout réinstallé en 4.3, seulement récupéré une sauvegarde de IMG de 2023, et la base de données de 10 jours avant, avec suppression de tous les auteurs.

Est-ce qu’un piratage avec vidage de site est représentatif des failles découvertes en 4.2 ?
Y a-t-il d’autres tables à vérifier dans la base de données ?
Est-ce que vous voulez mes logs http de la journée de piratage pour analyse ?

Merci

b_b · Novembre 4, 2024, 8:55

Oui, tout est possible, parfois la personne qui attaque efface le site si elle n’arrive pas à faire ce qu’elle souhaite, ou simplement pour effacer les traces de son passage.

Il faut surtout vérifier le contenu du dossier IMG cf Nettoyer un site SPIP piraté - Le labo et pour la base généralement elle n’est pas modifiée, mais ça vaut le coup de vérifier les tables meta, auteurs et articles.

Non merci, c’est certainement l’exploitation d’une des failles déjà corrigées dernièrement.