Aux trous de balle qui ont défacé mon site

Le site Déconophone fonctionne avec l’outil de publication de contenu (CMS) SPIP. Écrit en PHP, il est simple d’emploi et c’est enfantin d’y écrire des articles.

Le problème est que malgré plus d’une douzaine d’années d’existence, il a encore des failles de sécurité. Mon site a été défacé une première fois le 22 octobre 2015. Parce que je faisais des sauvegardes régulières, j’ai pu le restaurer. J’ai toutefois changé le mot de passe administrateur. Que 5 lettres plus 1 chiffre, ça faisait un peu léger en cas d’attaque par force brute, et j’avais pensé que la faiblesse était venue de là.

Je n’avais pas jugé utile de faire la mise à jour de sécurité pensant qu’après plus de 10 ans d’existence, l’outil SPIP était enfin arrivé à sa maturité pour ne plus être attaquable d’autant que mon site a une audience très très modestes.

C’était sous évaluer :

1) la lenteur des évolutions de sécurité de SPIP. En effet, les auteurs viennent de publier une alerte de sécurité critique le 10 mars 2016 touchant toutes les versions de SPIP,

2) la ténacité et la connerie des hackers. Détruisant sans foi ni loi le travail des autres, revendiquant l’anonymat sur le net, cela n’empêche pas qu’ils piétinent la liberté d’expression avec autant de plaisir que les despotes qui veulent tout contrôler sur internet.

Mon site a une seconde fois été défacé ce 28 mars 2015 à 19:03 par l’adresse IP 90.56.128.215 un abonné Orange dans la région de Dijon. Il se peut que ce soit un abonné qui se soit fait pirater sa Livebox. En regardant, les logs des connexions et la liste des auteurs, j’ai constaté que les hackers étaient allés assez loin puisqu’ils avaient réussi s’ajouter comme admin de mon site. Autant dire que le saccage intégral était à portée de leurs mains.

Ces deux auteurs étaient marc alias data564@riseup.net et avait créé son compte le 4/2/2016 et le second "IDK27" alias "idk27@yopmail.com". La méthode est sournoise et s’opère en deux temps. D’abord l’installation silencieuse d’un nouveau compte admin puis plus tard le défaçage. Imaginez que vous fassiez une restauration du site antérieure au défaçage et postérieure à l’installation du compte admin, le pirate aura tout le loisirs de recommencer puisque vous aurez restauré la base de donnée avec son compte déjà actif.

J’ai donc eu un peu de travail pour sécuriser mon site :

1) changer tous les mots de passe, le fichier config connect.php contient le mot de passe de la base de données MySQL qui plus est par défaut, identique à celle du compte ftp et celle du compte page perso free.fr

2) monter en version jusqu’à la 2-1.29

3) placer le patch ecran_securite.php qui intercepte toutes les requêtes envoyées au moteur spip et qui détruit les requêtes potentiellement malveillantes avant de les transmettre au reste du CMS SPIP. Selon les auteurs de SPIP, ecran_securité est un patch continuellement mis à jour et placé en attendant l’intégration définitives des protections dans le reste du moteur SPIP.

La restauration n’a pas été trop pénible, faisant des sauvegardes régulières de mon site. J’ai toutefois constaté que le site avait été défacé en replaçant le titre d’une de mes rubriques par un lien avec une balise i frame vers leur page vantant leur exploit (et accessoirement du Java Script malveillant pour bien défoncer le poste client ? - merci NoScript pour tout ce que tu fais pour moi)

Reste à l’issue de la restauration, j’ai envoyé un message à l’attention de ces connards de hackers puisqu’ils avaient laissé leur mail, c’est sans doute pour qu’on les contacte :

Je viens de remettre en état mon site perso (http://deconophone.free.fr). Je vois qu’on s’amuse bien en Bourgogne et puis que ça ne date pas d’hier non plus !

Par contre pour l’éthique, ce n’est pas très bon. Alors je ne sais pas si c’est le contenu de mon site qui vous agace ou c’est par connerie ou bien les 2, mais en tout cas, vous ne volez pas très haut !

Je viens de passer le dernier patch de sécurité, j’ai changé tous les mots de passe et j’ai fait une nouvelle sauvegarde fusionnée avec celle d’avant le 4 février 2016. Je regarderais de temps en temps si vous vous arrivez encore à vous ajouter dans la liste des admins du site et à le défacer.

À+

Déconophone.

La réponse n’a pas trainé de la part de data564@riseup.net

Rien à battre de ton site de tocard.

Effectivement le contenu sent fort le teubé perché mais il ne valait pas le coup que je m’y salisse les mains, j’ai passé mon tour car d’autres chats à fouetter.

Bonne continuation dans le néant intellectuel, abruti.

=> Voilà qui est étonnant, un connard qui n’en a rien à foutre mais en même temps a passé suffisamment de temps pour le trouver nul. Je ne sais pas ce qu’il fait dans sa vraie vie, probablement rien d’intéressant. C’est peut-être pour ça qu’il consacre son temps à pourrir la vie des autres ... "Marc" alias "data564@riseup.net", t’es qu’une grosse merde !