Skami 18 a écrit :
Enfin, il faut regarder dans les logs du serveur: il y-à t'il eu
plusieurs échecs d'authentifications récemment?, qui s'est connecté au
FTP ou en SSH récemment, etc...
Le 20 mai, date des derniers fichiers corrompus :
"193.47.80.39 - - [20/May/2010:00:34:27 +0200] "GET / HTTP/1.1" 200 4001
"-" "Mozilla/5.0 (compatible; Exabot/3.0; +http://www.exabot.com/go/robot)"
194.199.224.145 - - [20/May/2010:04:40:12 +0200] "GET
/css/images/button_degrade.gif HTTP/1.1" 200 2539 "-" "Mozilla/4.0
(compatible;)"
67.195.37.108 - - [20/May/2010:05:34:35 +0200] "GET
/xhtarget/php/showimg.php?img=img/serguei.062.jpg HTTP/1.0" 200 88 "-"
"Mozilla/5.0 (compatible; Yahoo! Slurp/3.0;
http://help.yahoo.com/help/us/ysearch/slurp)"
220.181.94.232 - - [20/May/2010:12:06:50 +0200] "GET / HTTP/1.1" 200
5559 "-" "Sogou-Test-Spider/4.0 (compatible; MSIE 5.5; Windows 98)"
220.181.94.232 - - [20/May/2010:12:07:00 +0200] "GET /robots.txt
HTTP/1.1" 302 219 "-" "Sogou web
spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"
119.63.193.56 - - [20/May/2010:21:07:24 +0200] "GET /robots.txt
HTTP/1.1" 302 219 "-" "Baiduspider+(+http://www.baidu.jp/spider/)"
119.63.193.56 - - [20/May/2010:21:07:25 +0200] "GET /error404.html
HTTP/1.1" 200 1092 "-" "Baiduspider+(+http://www.baidu.jp/spider/)"
119.63.193.56 - - [20/May/2010:21:07:25 +0200] "GET /index.html
HTTP/1.1" 200 5559 "-" "Baiduspider+(+http://www.baidu.jp/spider/)"
Etc.. comme il n'y a pas de fichier robots.txt, forcément il a droit à
la page error404, qui renvoie au bout de 20s sur la page index.html.
Par contre, un truc me chiffonne : à cette date, théoriquement, il n'y
avait plus d'accès DNS...?
Pas de SSH sur le site, et les logs FTP ne sont pas encore édités pour
le mois de mai (je n'ai pas accès à la console).
Par contre, j'avais déjà remarqué une attaque similaire le 13/05 (sans
me douter de l'étendue du problème).
Au milieu des robots de recherche, il y a un internaute dont l'adresse
IP a rôdé sur pas mal de pages vers 5h48, dont certaines pas directement
accessibles... Traceroute me renvoie "car06-2.dslam.club-internet.fr
(212.194.40.38)"
Mais bon, quand le script se trouve dans un des scripts appelés, il
suffit qu'un internaute se serve du site pour l'activer...
Je cherche... mais j'ai un peu de mal, car je ne sais pas trop quoi
chercher!
Sinon, le site fonctionne à nouveau, ouf! après avoir nettoyé l'ensemble
des fichiers js et index*.html, et remis des droits normaux...
Le coté alternatif/instable venait du cache de Firefox... ce n'est pas
la première fois que je me fais avoir! 80)
Vincent @pprenti
Diffusez cette liste aupres de vos relations :-)
Linux Azur : http://www.linux-azur.org
Vous etes responsable de vos propos.
*** Merci de rediger sans SMS, ni HTML ni PJ ***
