Accès SPIP Impossible et attaque en règle

  • Accès SPIP Impossible et attaque en règle
site spip attaqué

Il y a quelques semaines j’ai rencontré quelques soucis avec des sites construits avec le CMS SPIP. Le premier symptôme est l’accès au back-office est rendu inopérant.

Vous avez un message vous signifiant que l’accès au back-office est impossible. Mot de passe erroné, et il est impossible de lancer la procédure de restauration.

Et hier, patatras, le site est inaccessible : erreur 500 ! Connexion FTP impossible même depuis l’hébergeur !

Je vous livre la méthode qui m’a permis de rétablir la situation rapidement.

La page en question est visible ici : https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0213/

Première attaque de SPIP : Connexion au back-office impossible

Après quelques recherches, je ne suis pas le seul. Il semblerait que les 2 derniers mois, SPIP ait connu au moins 2 vagues d’attaques massives et automatisées contre des sites tournant sous ce CMS et non encore à jour avec la MAJ parue fin février 2023.

Le problème, c’est qu’il n’existe aucun moyen d’être alerté de ce type d’attaque et la communauté se retrouve un peu désemparée.
Pas la peine de critiquer ou de nous dire de changer de CMS, je pratique SPIP depuis 2007 ! Et c’est la première fois que je fais face à une telle situation.

Le CERT a émis une alerte en février 2023

La page en question est visible ici : https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0213/

Nettoyage des fichiers infectés

En fouillant dans les fichiers modifiés, je trouve du code qui n’a rien à faire dans la version d’origine.

Le fichier .htaccess

<Files "spip.php">
  <LimitExcept GET>
    deny from all
  </LimitExcept>
</Files>

Le fichier spip.php, on retrouve en début de page

<?php if(isset($_POST['page'])&& strtolower($_POST['page'])=='spip_pass') die();?>

Les modifications sont récentes, rien d’autre n’a été touché, et je n’ai trouvé aucune explication. Je consulte des forums SPIP où d’autres personnes partagent des fichiers modifiés, mais comme moi, pas de dégât.
En supprimant ces infos tout rentre dans l’ordre. Je fais les mises à jour recommandées par SPIP depuis le back-office. (version 4.1.9)

Aucune raison de m’inquiéter, depuis des années SPIP s’est montré très fiable.

Deuxième attaque, SPIP est inaccessible, le site est en erreur 500.

Moins de 10 jours après les opérations de réparation, le site est complètement inaccessible. Erreur 500. C’est la cata, c’est la cata… C’est la catastrophe !

Mais cela ne s’arrête pas là ! Impossible de se connecter même en SFTP ! Et l’accès au gestionnaire de fichiers de IONOS génère une erreur !

C’est donc sérieux !

Je n’ai donc plus aucun moyen d’agir, même l’accès SSH est impossible. Je passe par l’interface IONOS, par leur outil de gestion des fichiers et, idem, accès impossible.

J’appelle le service client Ionos.

Nickel, toujours disponible, ils répondent et en prime, vous avez des gens compétents et compréhensifs.

Ce n’est pas pour rien que DeepDive est reconnue comme Agence partenaire PREMIUM de IONOS. (voir la page dédiée chez Ionos )

Si vous suivez la méthode décrite ci-dessous, vous devriez récupérer votre site rapidement.

via GIPHY

Dépannage du site SPIP avec l’aide des techniciens IONOS

Un des avantages d’avoir un VRAI service client qui vous répond rapidement, c’est qu’on peut vraiment agir dans un court délai. Essayez de faire pareil avec OVH et on en reparle !

La solution trouvée, c’est de laisser les techniciens IONOS tuer les process malveillants, ils sont vites identifiés :

Une fois les process « killés », vous pourrez agir.

Il s’agit du fichier hwm que l’on retrouve dans le dossier config ou device ou ailleurs

Comment procéder pour restaurer SPIP avec cette attaque chez IONOS

1-Récupérer une sauvegarde de votre site

Sur IONOS, il est possible de restaurer son espace Web complet !

Pour cela, connectez-vous sur votre espace client.

Rendez-vous dans Hébergement / Espace Web.

Sur la roue dentée en haut à droite, vous verrez l’option « Restauration de l’espace Web »

Il vous suffira de choisir une date antérieure à l’attaque

Sélectionnez la totalité des fichiers et cliquez sur Restaurer la sélection. En fait, Ionos va simplement transférer l’ensemble des fichiers dans un dossier « _ProviderRestore » qui sera stocké à la racine de votre site.

2- Faites une sauvegarde de la base de données.

Par acquit de conscience, faites une sauvegarde de votre base de données. Elle n’a pas été impactée pas l’attaque, mais au moins, vous en aurez un exemplaire en cas de crash.

Pour ce faire, cela se passe dans votre espace hébergement. Cliquez sur « Administrer« 

Cliquez sur « Ouvrir » dans la colonne PHPMYADMIN

Vous aurez ainsi accès à toutes les tables de votre base de données SPIP. Cliquez dans le volet gauche sur la base de données et descendez à la fin de la liste des tables qui se sont affichées dans le volet droit.

Cochez pour tout sélectionner et sélectionnez le choix « Exporter« 

Vous aurez alors une sauvegarde complète de votre base de données téléchargée sur votre PC.

3- Bloquer les processus malveillants avant de restaurer

Il vous faudra être organisé. Avant de contacter IONOS tâchez d’avoir votre Fillezilla ouvert et prêt. Lors du premier essai, en moins de 5 minutes, je me suis retrouvé bloqué !

La méthode qui a fonctionné pour moi :

  1. Demandez au technicien de bloquer le virus. Une fois fait, connectez-vous via Filezilla
  2. Supprimez le fichier infecté
  3. Créez un dossier à la racine de votre hébergement
  4. Transférez TOUS les fichiers et dossiers de votre site dans le dossier créé précédemment. Oui, c’est beaucoup plus rapide que de les supprimer ! N’oubliez pas que des fichiers infectés ou illicites peuvent avoir été =logés à votre insu. Donc ne tentez pas le diable.
  5. Récupérez l’ensemble des fichiers sauvegardés via IONOS dans le dossier « _ProviderRestore » et déplacez-les à la racine. Un simple glisser depuis Filezilla fera l’affaire.
  6. Connectez-vous sur le back-office de votre site Spip.
  7. Profitez pour faire les mises à jour. Suivant les recommandations, et n’oubliez pas les plugins
  8. Faite changer les mots de passe des comptes utilisateurs
  9. Supprimer le dossier et tout son contenu que vous avez créé lors du transfert de vos données
  10. Enjoy 😁

La version 4.2.2 vous met à l’abri jusqu’à la prochaine attaque. 🤪

Pensez à changer vos mots de passe et enfin, refaite une sauvegarde du site complet.

Il ne reste plus qu’à s’abonner aux mises à jour de SPIP, car comme je l’ai écrit plus haut, depuis 2007 je n’ai jamais rencontré ce type de problème.

Malgré tout, votre site SPIP est attaqué à nouveau ?

Votre site SPIP est bien à jour, et pourtant vous subissez une nouvelle attaque ! Pas de panique, vous avez certainement laissé des fichiers corrompus lors du transfert de votre sauvegarde ou simplement oublié de supprimer le dossier créé. Vous pouvez donc

  1. Installer la dernière de version SPIP propre
  2. Copier vos dossiers, IMG, SQUELETTES, PLUGINS
  3. Remettre le fichier config.php
  4. Vérifier le .HTACCESS
  5. Et c’est reparti, car la base de données n’a pas été touchée

En espérant que tout ceci vous aura aidé pour vous débarrasser de ses hackers !

Si vous rencontrez des problèmes avec votre site SPIP, contactez-nous

Facebook
Twitter
LinkedIn
WhatsApp

Un commentaire

  1. Merci pour cet article.
    L’un de mes vieux (3.2.15) sites était indisponible a priori depuis le 25/06.
    Ca ressemble à votre 2ème attaque.
    Des scripts pythons dans /tmp. Mais tout le contenu du répertoire html avait disparu (spip, IMG…).
    Nettoyage, restauration, upgrade en 3.2.19… et c’est reparti.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Poster commentaire

Catégories

Catégories

Articles récents

Commentaires récents

Commentaires récents