aujourd'hui, 2 sites dont je m'occupe ont été hackés: page d'accueil changée
le curieux c'est que ces deux sites, situés sur des serveurs qui n'ont
rien à voir,
ont eu la même modification : le remplacement de la page spip.php par
une autre page spip.php qui affiche l'exploit
au passage je n'ai pas compris comment il s'est introduit sur les deux
sites
ssh ça m'étonnerait, ftp peut-être mais les mots de passe sont costauds
faille d'apache ? j'ai regardé les logs sans rien remarquer
enfin je n'en sais rien et je ne suis pas très doué pour le découvrir !
--
Station de Fécondation Abeille Noire de Mormal http://sfanm.shost.ca/
----
« Si l’abeille disparaissait de la surface du globe, l’homme n’aurait plus que quatre années à vivre »
signé : Albert Einstein.« citation apocryphe »
aujourd'hui, 2 sites dont je m'occupe ont été hackés: page d'accueil changée
le curieux c'est que ces deux sites, situés sur des serveurs qui n'ont
rien à voir,
ont eu la même modification : le remplacement de la page spip.php par
une autre page spip.php qui affiche l'exploit
au passage je n'ai pas compris comment il s'est introduit sur les deux
sites
ssh ça m'étonnerait, ftp peut-être mais les mots de passe sont costauds
faille d'apache ? j'ai regardé les logs sans rien remarquer
enfin je n'en sais rien et je ne suis pas très doué pour le découvrir !
bien à vous, yanic
Salut,
Peux-tu nous dire si tu as l'écran de sécurité sur tes SPIP ? Tous les plugins que tu utilise sur tes
sites sont t'ils bien à jour ?
Bien vérifier la date du fichier index.php. Si tu as des graphs de charge (MRTG, Nagios, etc...)
regarde les piques de charge réseau.
Avec une date, tu devrais trouver dans les logs de ton serveur web ou authentifications des utilisateurs.
Si c'est sur des serveurs dédiés, je commencerais par lancer quelques commandes.
Pour voir si il n'existe pas des applis qui tournent sur le serveur et qui ne devraient pas être là.
$ ps auxf
Pour voir si des applis sont lancées en root
$ netstat -tanpu
Pour voir si il n'y a pas de trace dans le /tmp
$ ls -alh /tmp
En parallèle des investigations qui te sont proposées ici (sur la
liste spip-zone) et là SPIP hacké, que faire ? - SPIP-Contrib
(sur SPIP contrib'), je te recommande vivement de faire parvenir ton
email décrivant ta situation à cette adresse : spip-team@rezo.net
Bon courage !
Le 5 mars 2017 à 22:11, gornety <gornety@no-log.org> a écrit :
salut
aujourd'hui, 2 sites dont je m'occupe ont été hackés: page d'accueil changée
le curieux c'est que ces deux sites, situés sur des serveurs qui n'ont
rien à voir,
ont eu la même modification : le remplacement de la page spip.php par
une autre page spip.php qui affiche l'exploit
au passage je n'ai pas compris comment il s'est introduit sur les deux
sites
ssh ça m'étonnerait, ftp peut-être mais les mots de passe sont costauds
faille d'apache ? j'ai regardé les logs sans rien remarquer
enfin je n'en sais rien et je ne suis pas très doué pour le découvrir !
La team est au courant et une release est en train de se préparer.
Toutes les versions de SPIP sont impactés notamment si vous utilisez le plugin spipdf
Merci de patienter un peu.
Le nouveau écran de sécurité 1.3.0 corrige déjà la faille: