Site en : 3.0.17
Hack sur plusieurs sites
Je viens de voir un ficher dans le local de chacun des sites : mkd.txt
ces fichiers contiennent le texte suivant :
hacked by moroccan hassan / hassano mrmounine / mkd group
Ces fichiers ont pour proprio (sur une debian) www-data.www-data
Je retrouve par ailleurs plusieurs get de ce fichier dans les log d'apache
Normal que cela puisse arrivé?
dangereux ?
Francois Sauterey
Hop,
ils font des concours de script kiddiz
http://www.zone-h.org/archive/notifier=Moroccan%20Hassan?zh=1
même attaque pour ma part avec 12 sites touchés mais fait intéressant, un site est sous magento donc je penche pour une faille apache plutôt que spip
je suis sous ubuntu 12.04 LTS mis à jour quotidiennement et
# apache2 -v
Server version: Apache/2.2.22 (Ubuntu)
Server built: Jul 22 2014 14:35:25
Bonjour,
Pour être complet, tu peux me dire quelle version de php tourne sur ta machine?
merci.
Frédéric Bouteille
$ php -v
PHP 5.3.10-1ubuntu3.15 with Suhosin-Patch (cli) (built: Oct 29 2014 12:19:04)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
Bonjour,
même souci pour un site en SPIP 2.1.13, hébergé chez Ouvaton.
un fichier à la racine avec le texte:
"hacked by moroccan hassan / hassano mrmounine / mkd group"
je ne vois rien dans les logs,
la base de données ne semble pas touchée,
il faut faire la mise à jour vers spip 2.1.22, mais avant j'aimerai savoir
ce qu'il en est.
Vous pouvez me donner des informations la dessus?
Merci.
Laëtitia
Bonjour 
La première chose à faire est de lire:
http://contrib.spip.net/SPIP-hacke-que-faire
http://contrib.spip.net/En-bref-SPIP-hacke-que-faire
http://contrib.spip.net/SPIP-hacke-que-faire-la-revanche-des-sites
Actuellement, la dernière version dispo pour la branche 2.1.x est la 2.1.26
et non la 2.1.22.
Elle est dispo ici:
http://files.spip.org/spip/archives/SPIP-v2-1.26.zip
https://core.spip.net/projects/spip/wiki
Vous pouvez aussi vous servir de spip_loader pour la mise à jour en suivant
les instructions ici:
http://www.spip.net/fr_download
Faite l'ajout de l'écran de sécurité qui est dispo là:
http://www.spip.net/fr_article4200.html
Prenez encore le temps de vérifier votre base de données avant de faire la
mise à jour, dès fois que...
-----Message d'origine-----
En ce qui me concerne, je ne sais que ça L :
http://comments.gmane.org/gmane.comp.web.spip.devel/65938
A voir si des membres de la team-dev en savent plus ? Ton problème ne serait donc pas forcément dû à spip (même si il faudra y faire attention et mettre à jour…) mais plus à « l’environnement »
Bonjour,
même souci pour un site en SPIP 2.1.13, hébergé chez Ouvaton.
C'est une vieille version
un fichier à la racine avec le texte:
"hacked by moroccan hassan / hassano mrmounine / mkd group"
Un fichier visible via FTP ?
Pas courant, mais cela dit, on peut imaginer un hack en plusieurs étapes
qui permettent une telle action.
Est-ce que l'installation automatique de plugins (via plugins/auto) est
possible sur ton site ?
je ne vois rien dans les logs,
la base de données ne semble pas touchée,
Pour le hack le plus courant actuellement il faut regarder si un
administrateur a été créé. La table spip_meta contient aussi des
informations sur la date des derniers éléments modifiés
il faut faire la mise à jour vers spip 2.1.22, mais avant j'aimerai savoir
ce qu'il en est.
spip 2.1.26