Bonjour.
Je suis très désappointé. Je viens de trouver des fichiers sur mon serveur :
Un fichier PHP au nom aléatoire,
Un répertoire « jx » contenant 2 fichiers : ge.php et g.php
Deux derniers fichiers Line et line64.sh
Line64 est un exécutable
J’ai quelques trace de pénétration, mais ne trouve pas si c’est un brute force de mot de passe, ou une faille PHP/JavaScript qui a permis ça.
Je m’en suis aperçu pour une raison toute simple:
J’ai un script qui m’envoie tous les jours la charge du serveur. Et ce matin, bim, 100%sur 4 de mes processeurs (4/8).
Première question: comment trouver en base, les dates de connexions? Je suis le seul à me connecter. Il n’y a pas de compte secondaire.
Seconde question: comment trouver la pénétration (si pas par brute force de mot de passe)?
Et pour info, le site était a jour, a quelques semaines près. Je l’avais remis à neuf début d’été.
J’ai pris la solution (pas la moins simple) de réinstaller la partie fichier au moins, à partir de zéro.
Changé de mot de passe de connexion.
changé de mot de passe sur le serveur aussi.
On va voir ou cela va mener.
Merci encore de ta réaction rapide.
Pour info, si d’autre ont le même problème, il y a un répertoire tmp/flood/ et des fichiers qui correspondent à des adresses IP.
le répertoire (dans SPIP) tmp/flood/{ip}.txt c’est le plugin statistiques qui peut le créer, et parfois d’autres plugins aussi : mais oui ça veut dire que cette IP indiquée fait plein de hits.