Salut,
Pour analyser l'intégrité d'un Wordpress, on peut aussi utiliser wp-cli :
curl
https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
-o wp-cli.phar
php8.2 wp-cli.phar --path=/var/www/html/example.com core
verify-checksums --version=(version du Wordpress que l'on réc
Hello
Content que ça serve à d'autres personnes que moi :)
Note c'est sensé aussi trouver les WP mais c'est pas tout sec à ce
propos.
La commande -l est pratique pour bien lister les fichiers à contrôler,
plus concis que le mode verbeux de -v
Ne pas hésiter à me faire des retours au besoin que
Je viens de passer le script, et on dirait bien qu'il trouve des trucs ! (merci
pour ce travail !!!)
...
DRYRUN: find /var/www/spip -regex /var/www/spip/pwn$ -delete -print
Some files have ELF 32 pattern type file
/var/www/spip/x86.1
Search WP in /var/www/
Search crontab execution
www-data h
Bonjour,
Il y a probablement un webshell/phpshell installé par l'attaquant dans
ton arbo spip. il faut le trouver et c'est pas toujours simple.
Je ne suis plus à la page sur les scripts de détection mais il y en a
comme https://github.com/idrisawad/Webshell-Detect
Si tu as des volumes Dock
Hello
Tu as un script pour valider que SPIP est troué ou pas.
Au passable fort probable s'il n'y a pas eu de mise à jour depuis les
12 derniers mois.
Je t'invite à regarder du coté :
https://git.spip.net/spip-contrib-outils/spip_cleaner
Je te confirme que je suis partie prenante car j'ai codé c
Le mardi 1 octobre 2024, 22:04:39 CEST Christophe Moille a écrit :
> Sans oublier de comprendre d'où a pu venir la compromission initiale. Si c'est
> pour réinstaller un serveur vulnérable, ça n'a pas trop de sens.
c'est là que je suis un peu démuni : je ne sais pas trop par quel bout le
prendre
Le mardi 1 octobre 2024, 20:42:05 CEST neo futur a écrit :
> Spip est une très bonne piste si tu n' avais pas une version à jour.
> Je m' en suis fait pirater un aussi.
> Vu que spip a très peu de squelettes disponibles, et qu 'ils ne sont
> jamais compatibles avec les nouvelles versions qui n' o
Bonjour,
si, la trace du traffic incriminé est donnée :
Attack detail : 9Kpps/6Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:34734 141.94.111.221:22 TCP SYN 16384
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.
Le 01/10/2024 à 16:29, Franck Routier via FRsAG a écrit :
Le mardi 1 octobre 2024, 15:27:30 CEST Kevin Labécot a écrit :
Je ne connais pas ce mode « hack » d’OVH ni si il y a des précisions mais qui
dit que ce n’est pas le serveur hôte qui est hacké ?
l'intuition et l'espoir...
En fait j'ai
