[Résolu] comprendre le log pour identifier une attaque...

bonjour
pour la deuxième fois, je suis attaqué avec dépot de fichier dangereux qui conduisent OVH à bloquer tous mes sites… la première fois , il y a qq mois, j’avais carrément désactivé le site attaqué par ailleurs peu utilisé…
mais ca recommence sur un autre site que je n’ai pas envie de désactiver !
Je nettoie et relance, mais ca revient la nuit suivante… j’ai modifié mes mots de passe, activé la double authentification ovh, sans résultat…

ca semble lié à spip parceque c’est sur un site particulier, pas sur les autres… donc, le hacker se connecte à spip et arrive à avoir accès aux dossiers ?

je voudrais comprendre comment il se connecte, le log ci-dessous peut-il y aider ?
merci d’avance de toute aide…

pam

213.186.33.2 oserlapaix.fr - [23/Aug/2023:00:07:46 +0200] « GET /spip.php?action=cron HTTP/1.1 » 403 199 « - » « - »
162.19.101.44 oserlapaix.fr - [23/Aug/2023:00:07:45 +0200] « GET /spip.php?lang=fr&page=spip_pass HTTP/1.1 » 200 1979 « - » « Mozilla/5.0 (compatible; Qwantify-prod505/1.0; +https://help.qwant.com/bot/) »
51.68.11.191 oserlapaix.fr - [23/Aug/2023:00:24:47 +0200] « GET /spip.php?action=cron HTTP/1.1 » 403 199 « - » « - »
2604:a00:50:23:216:3eff:fe29:46d8 oserlapaix.fr - [23/Aug/2023:00:24:47 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 200 1964 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 www.oserlapaix.fr - [23/Aug/2023:00:24:47 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 200 1963 « - » « python-requests/2.31.0 »
51.68.11.191 oserlapaix.fr - [23/Aug/2023:00:24:51 +0200] « GET /spip.php?action=cron HTTP/1.1 » 403 199 « - » « - »
2604:a00:50:23:216:3eff:fe29:46d8 oserlapaix.fr - [23/Aug/2023:00:24:51 +0200] « POST /spip.php?page=spip_pass HTTP/1.1 » 200 2247 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 www.oserlapaix.fr - [23/Aug/2023:00:24:52 +0200] « POST /spip.php?page=spip_pass HTTP/1.1 » 500 541 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 oserlapaix.fr - [23/Aug/2023:00:40:55 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 www.oserlapaix.fr - [23/Aug/2023:00:40:56 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 oserlapaix.fr - [23/Aug/2023:00:40:59 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 www.oserlapaix.fr - [23/Aug/2023:00:41:01 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 oserlapaix.fr - [23/Aug/2023:00:56:02 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »
2604:a00:50:23:216:3eff:fe29:46d8 www.oserlapaix.fr - [23/Aug/2023:00:56:02 +0200] « GET /spip.php?page=spip_pass HTTP/1.1 » 403 261 « - » « python-requests/2.31.0 »

SPIP 4.1.5 si j’en crois : Oser la Paix ! - Arrêtez la guerre, négociez la paix !

Pas la peine de chercher plus loin, c’est la faille de sécurité corrigée fin février 2023 et qui touche tous les sites non mis à jour : Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)

Donc, il faut mettre à jour en faisant un gros nettoyage.

merci de cette réponse qui me permet de résoudre le problème… mais c’est vrai que ca demande une forte attention et disponibilité pour les mises à jours !

la mise à jour a du mal avec la gestion des plugins, il faut les mettre à jour un par un ou presque…
d’autant que soyez createur et certaines dépendances ne sont pas encore dispo en 4.2 et que l’agenda de maintenance dit que la 4.1 ne sera plus maintenu dans 6 mois…

c’est très serré comme planning… et très contraignant par rapport à ce qu’on avait jusqu’à la 3.0…

encore merci