Pour compléter mon dernier message, après recherche dans mon courrier, j'ai 
retrouvé ceci en date du 25 septembre 2014:

Bonjour,
Un site dont je m'occupais a été hacké avant hier.
Impossible de voir le site, en partie privée, non plus.
J'ai examiné les tables et j'ai trouvé dans la table article quelques titres
des derniers articles remplacés par ce code:

<iframe src="http://make-stresser.tk/fake.html"; style="border: 0;
position:fixed; top:0; left:0; right:0; bottom:0; width:100%; height:100%">

J'ai purgé la dizaine de titres changés.
Un auteur avait été créé, et ce même code remplaçait le nom d'un des auteurs
empéchant la consultation des auteurs en partie privée.
Un logo (manga) a été placé sur chaque artcle contaminé.
J'ai supprimé le logo par ftp.
Aprés vidage du cache tout remarche.
J'ai mis le dernier écran de sécurité sur ce SPIP 2.0.10 [14698] que je ne
peux pas changer pour le moment, une migration étant envisagée.
D'autres programmes sont présents sur ce site, aucun autre n'a été touché,
je pense donc que c'est bien le spip qui était visé.
S'agit il d'une intervention humaine d'un proche des utilisateurs du site, 
ou une attaque pure et simple, d'un robot?
Je m'attends à ^tre obligé de recommencer...

Perline Spip m'a répondu qu'il s'agissait d'un robot de par la présence d'une 
iframe.

================


"Cécile Tonnelle" <cec...@reflet-web.com> a écrit dans le message de news: 
131E6A638878463AA008D923DBA2AF0E@cilou...
  Bonjour

  Sur un site de fin 2011 en Spip 2.1.11, la page d’accueil de l’admin 
(ecrire/?exec=accueil) a été hackée... le <div class="verdana1"> contient une 
iframe : <iframe src="http://agrilygaza.96.lt/Agrily.php"; style="border: 0; 
position:fixed; top:0; left:0; right:0; bottom:0; width:100%; height:100%"> à 
la place du code normal.
  Cette iframe affiche une page de Hostinger avec en haut un message : “Page is 
forbidden 403 The page you are trying to access is private and not accessible 
with additional permissions.” puis dessous le reste de la page 
https://www.hostinger.co.uk/

  Mon problème est que la page accueil sur le serveur n’est pas modifiée... je 
suppose donc qu’il y a une injection qui modifie <div class="verdana1">  mais 
je ne trouve pas où ça se passe ni de solutions pour empêcher ça.
  J’ai supprimé tmp, supprimé des répertoires dans IMG : (ZIP  contenait 
index.zip –> index.php –> <title>Hacked by Agrily</title>, plus 2 autres que je 
n’ai pas pu ouvrir à cause de mon anti-virus), des fichiers dans un répertoire 
Distant et un répertoire html, je n’ai rien trouvé de plus sur le serveur qui 
aurait été modifié ces derniers temps...
  J’ai regardé également la base de données, je ne vois rien d’anormal.

  Je ne sais pas trop quoi faire, donc si vous avez des pistes, merci d’avance

  Cécile






------------------------------------------------------------------------------



---
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel 
antivirus Avast.
https://www.avast.com/antivirus
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à  spip-...@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : http://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Répondre à