SPIP hacké, que faire ? - commentaires

SPIP hacké, que faire ?

Bonjour,

Je ne sais pas trop ou poser la question, mais comment faire pour tester la fiabilité des documents transférés par un utilisateur, lors de l'ajout via le bouton « Parcourir ... » ?

Merci.

SPIP hacké, que faire ?

Bonsoir

Faut prendre la version 2.1.1 et non 2.1.10 dans ce cas.

Cf http://www.spip.net/fr_article4449.html dans le P-S

SPIP hacké, que faire ?

Bonjour,

mon site a été hacké la semaine dernière. La base php semble ne pas avoir été touchée mais tous les dossiers de mon serveur ont été supprimés.

Je cherche donc à réinstaller un site propre. J'imagine qu'il faut installer la version initiale de spip puis faire une MAJ. Je suis donc allé dans la table slip_meta voir la variable version_installee qui est égale à 15828.

J'ai donc refait une installation propre de spip 2.1.10 et ai tenté de charger ma base comme pour un déménagement. J'ai le message d'erreur suivant :

Attention ! Le fichier .. / tmp / dump / localhost-4.xml ( ) correspond à une autre version de SPIP que celle que vous avez installée. Vous allez au-devant de grosses difficultés : risque de destruction de votre base de données, dysfonctionnements divers du site, etc. Ne validez pas cette demande d'importation.

Quelqu'un pourrait-il m'aider ?

Merci beaucoup

SPIP hacké, que faire ?

Bonjour,

Un des sites que je gère a été hacké. Le principe était de remplacer le titre de toutes les rubriques et de certains articles par un lien vers un iFrame du type .

Sur la page d'accueil, tout allait bien, mais dès que l'on cliquait sur un lien de rubrique, la page d'un autre site apparaissait. Le site utilisait la version 2.1.10 de SPIP. J'ignore si ce problème a été réglé depuis (empêcher un titre de rubrique d'ouvrir un lien...).

Cordialement,

Kristian.

SPIP hacké, que faire ?

cela n'a pas grand chose à voir ni avec le sujet de ce forum, ni même avec celui de l'article.

Cela n'a a vrai dire aucune importance en terme de sécurité, les repertoires à protéger étant tmp et config, et SPIP les protèges par défaut.

Cependant vous pouvez mettre dans le dossier IMG un fichier .htaccess contenant cette seule option Options -Indexes, ou vous pouvez demandez à votre hébergeur de ne pas lister le contenu des repertoires.

SPIP hacké, que faire ?

Bonjour,

J'ai mis sur le net un début de site.

Si je tape par exemple : www.monsite.com/IMG/pdf/ j'obtiens la page d'arborescence (que vous avez en fichier joint).

Comment peut-on éviter la visibilité de l'arborescence de son site avec SPIP ?

Merci bien !
Valcanigou

SPIP hacké, que faire ?

La page d'accueil malveillante n'existe plus sur mon site puisque j'ai tout effacé.
En espérant que Google fasse une indexation correcte lorsque je remettrai le site en ligne...

SPIP hacké, que faire ?

cette page d'accueil est-elle sur votre serveur ou pas ? si oui, effacez là. Sinon, attendez que votre site soit réinstallé, cela devrait laisser google refaire une indexation correcte.

SPIP hacké, que faire ?

Bonsoir,

J'ai supprimé tous les fichiers du site et modifié les mots de passe. Je vais donc reconstituer les pages avec la dernière version de SPIP.
Sur le moteur de recherche Google, lorsque je tape le mot clé « cerisaie durand » ( mot clé qui correspond à la cerisaie de mon beau-père) le premier site proposé dirige vers une page d'accueil du genre de celle qui avait remplacé la page d'index de mon site.

Quel conseil pourriez-vous me soumettre pour éliminer cette page malveillante qui s'affiche avec le mot clé « cerisaie Durand » ?

Cordialement
Valcanigou

SPIP hacké, que faire ?

Bonjour,

J'ajoute qu'il faut aussi vérifier que les hackers ne se soient pas créé de comptes administrateurs. Si c'est le cas, il faudra les supprimer puis changer tous les mots de passe des autres utilisateurs et vérifier la véracité de leurs adresses emails.

Faire aussi un tour du côté des plugins, histoire de voir si ils n'ont pas ajouté leurs hacks perso.

Et en conclusion, faites un upgrade réguler de tous vos sites pour éviter les failles trop connus.

Cdlt

Fred

SPIP hacké, que faire ?

Bonjour,

pourquoi faut-il garder une copie ?

Pour analyse ultérieure, ou pour pouvoir s'en inspirer au besoin pour une nouvelle version.

Faut-il aussi changer le mot de passe pour accéder au manager OVH en tant qu'admin ?

En toute logique, non. Ceci dit, ça ne mange pas de pain de le faire de temps à autres, ce moment en vaut un autre.

Faut-il aussi changer le mot de passe de la base de données SQL ?

Oui, le fichier de configuration du site est potentiellement compromis, ce mot de passe est donc à changer.

SPIP hacké, que faire ?

Bonjour,

Je vais suivre vos conseils. Mettre un SPIP neuf et refaire le site.

Pour la copie du squelette, pourquoi faut-il garder une copie ?

Pour les mots de passe, vous me conseillez de modifier les mots de passe FTP.
Faut-il aussi changer le mot de passe pour accéder au manager OVH en tant qu'admin ?
Faut-il aussi changer le mot de passe de la base de données SQL ?

Merci bien Maïeul et Fred !

Valcanigou

SPIP hacké, que faire ?

Bonjour,

Il peut aussi y avoir eu des modifications dans la base de données, des trucs du genre :

refresh » content=« 1 ;url=... »

Dans la rubrique n°1
Dans le dernier article

Il peut aussi y avoir des redirections dans la description du site.

Bon courage.

SPIP hacké, que faire ?

change les mot de passe FTP,supprime l'ensemble des fichiers (en gardant une copie de tes squelette et dossier IMG) réinstalle un SPIP neuf...

SPIP hacké, que faire ?

Bonsoir,

Je rajoute à mon message précédent la page « index.html » que j'ai trouvée à la racine du site.

Je renouvelle ma question : comment enlever cette page ?
Peut-on récupérer l'ancienne page d'accueil ? Si c'est possible, comment faire ?

Cordialement
Valcanigou

SPIP hacké, que faire ?

Bonsoir,

J'ai un site sous SPIP depuis quelques années qui présente la cerisaie de mon beau-père.
Le site a été hacké suite aux événements « Je suis Charlie ».

Voici l'adresse du site hacké : www.fruitconflent.com
On peut voir la page d'accueil sur le site archive.org à partir de ce lien :
https://web.archive.org/web/2014121...

Sur la page« index.html » qui se trouve dans le dossier /www/IMG/html, on trouve des traces du hacker.
Toujours dans ce dossier, se trouve une page "index-2.html avec également des traces du hacker.

Que faire, une fois ces indices repérés ?

SPIP hacké, que faire ?

Bonjour,

donc il s'agit très certainement d'une injection SQL comme je le subodorais... Il faut impérativement mettre à jour SPIP et les plugins dans la dernière version de leur branche pour éviter de nouveaux ennuis.

Concernant le fichier .htaccess, les lignes en question n'ont rien de méchant à priori. En tout cas, je ne vois pas de lien direct avec une redirection en page d'accueil.

SPIP hacké, que faire ?

Bonjour,
J'ai réussi à remettre mon site d'aplomb en allant dans la base. L'article 1 ( affiché sur la page principale du site ) avait comme titre et comme contenu le lien de redirection. J'ai perdu le contenu de l'article 1, ce n'est pas grave, il fallait que je le réactualise.
Par contre, aucune idée sur la façon dont ça s'est produit, je vais actualiser mon site ( je n'avais pas mis les plugins à la bonne place ).
Pour le fichier .htaccess, la différence est là :
# bloquer les acces aux fichiers caches (.svn, .git, etc) # bloquer les acces aux repertoires .svn/ (SPIP, plugins, squelettes...)
RewriteRule /\..*(/.*|$) - [F] RewriteRule ^(.*/) ?\.svn/ - [F]
Je ne sais interpréter cette différence.

SPIP hacké, que faire ?

tu as regardé dans les derniers articles que tu as sur ta page d'accueil.
Il doit y avoir un lien a supprimer qui pointe vers html/img

par contre j'aimerais savoir comment ce monsieur a accès au site pour le modifier

SPIP hacké, que faire ?

Il doit y avoir une modification du htaccess car les autres pages fonctionnent.
http://citoyendemaville.fr/spip.php?rubrique1

SPIP hacké, que faire ?

Bonjour,
Merci beaucoup pour vos conseils. Je suis obligée de différer la mise en pratique, mes activités de grand'mère m'occupent jusque jeudi.

SPIP hacké, que faire ?

Bonjour,

se connecter sur IRC ne nécessite pas d'identifiant : c'est une connexion libre. Sinon, il peut être intéressant également de faire un saut sur les listes de diffusion : http://listes.rezo.net/mailman/listinfo/spip ( par exemple ).

Accessoirement, dans le sommaire, il y a des :
meta http-equiv=« refresh » content="0 ; url=http://citoyendemaville.fr/IMG/html/"
Faudrait voir d'où ils sortent. Ce pourrait être par exemple une injection SQL sur la table des URLs. Mais je ne me vois pas poursuivre ce genre de discussions ici : IRC et les listes de diffusion sont plus appropriées pour ça :)

Et sinon : conseil usuel : tout sauvegarder, mettre ensuite à jour ... Composed-By : SPIP 3.0.5

SPIP hacké, que faire ?

Bonjour,

Tu as regarder l'url du site dans la base ? pas de modification du htaccess de spip ?

SPIP hacké, que faire ?

Bonjour,
Mon site http://citoyendemaville.fr, s'est fait hacké, une redirection vers http://citoyendemaville.fr/IMG/html/ se met en place systématiquement ( j'ai giclé l'image qui y était, une revendication sahraoui ).
J'ai fait plusieurs essais infructueux, pourriez-vous m'aider ou m'indiquer comment on obtient un identifiant pour se connecter sur Irc.
Ce que j'ai fait :
- j'arrive à rentrer sur mon site par /ecrire, j'ai sauvegardé la base de données, je l'ai réinstallée dans un spip tout neuf, et visiblement le bug est dans la base car j'ai le même problème. Pire, depuis mon site local je me retrouve sur mon site de production.
- j'ai trouvé un rédacteur avec des droits webmaster inconnu ( qui s'appelait loush en plus ), je l'ai supprimé
- dans les documents, une page html que je ne connaissais pas, avec une date qui correspond à la survenue du pb, je l'ai giclée
On dirait que le bug se 'propage' par exemple, je ne peux plus accéder à la page 'articles' dans l'espace de rédaction alors qu'avant j'y arrivais
J'ai une restore en .gz de mon hébergeur, mais elle a une semaine, le bug est antérieur ( et je suppose qu'il faut des outils spéciaux ).
Mon site est sous spip ( version de 2013 ), avec un habillage beespip et pas de personnalisations. J'ai voulu faire un site contributif ( possibilité de s'inscrire pour commenter et pour devenir rédacteur ), peut-être que je maitrisais mal cette partie.
Merci pour votre aide

SPIP hacké, que faire ?

dans config/connect.php,

SPIP hacké, que faire ?

Merci pour ces indications.
J'aimerais modifier le mot de passe SQL, mais comment savoir dans quel fichier spip il est enregistré ?
Merci d'avance pour l'aide.

SPIP hacké, que faire ?

A noter, certains hébergeurs proposent aussi de restaurer votre espace à une date précédente (un jour, une semaine précédente). (un « snapshot »)
Cela peut être utile si votre piratage est récent ou si certains fichiers ont été perdus ou endommagés.
Par exemple, chez OVH accéder à un snapshot

SPIP hacké, que faire ?

Bonjour,

le problème est que ces sites sont tous plus ou moins spécialisés/commerciaux. Pas évident donc de faire quelque chose de neutre et de pérenne dans le temps ... Enfin, comme je n'utilise pas ces solutions, j'aurais du mal à en parler ^^

SPIP hacké, que faire ?

Salut,

merci pour cet article et cette méthode...

Est-ce qu'il ne serait pas intéressant d'ajouter des outils en ligne permettant de scanner un site à la recherche de fichiers infectés ?
Il existe des site, mais il est difficile de connaitre leur efficacité...

jean marie

SPIP hacké, que faire ?

Bonsoir :-)
Cet article ne devrait pas également (ou au moins un lien qui renvoi vers ici) être sur spip.net ?
Après concernant l'endroit exacte, je ne sais pas trop, car il faut que cela soit « simple » à trouver comme info ( dans la FAQ technique, dans télécharger ????)

Spip hacké, que faire ?

Pour la gestion de mots de passe complexes il existe des solutions comme Keepass ou Lastpass qui permettent d'avoir des mots de passe complexes et unique pour chaque site.