05-06-2010, 1:03
Salut à tous, et à Spyto particulièrement
je viens vous voir pour essayer de comprendre ce qu'il s'est passé.
j'étais avec la version 1.4.11 jusqu'à hier, et un petit malin a réussit à modifier le template index de tous mes thèmes... je vous joins en txt le code qu'il avait mis. Du coup, dès qu'on essayait d'aller sur index.php on se retrouvait avec une belle page noir avec quelques images et un grand "hacked by vicious" et des mots en russe, mais toutes les autres pages fonctionnaient parfaitement. J'ai donc récupéré une sauvegarde de ma bdd pour recopier mon code du template index, puis j'ai fait les màj 1.4.12 et 1.4.13.
Et depuis hier, j'essaie de voir dans mes logs qui a bien pu faire ça, et comment il a fait.
j'ai trouvé ça:
je sais que c'est arrivé entre 10h30 et 16h, mais le fichier des logs est tres gros, donc je fais le tri dans les ip que je connais, et celles-ci me semblent bizarres, la 1ere vient du maroc et la 2ème de russie, je penche donc pour la russe, mais je ne comprends pas comment il a pu attaquer mon site avec juste ça...
bref, si vous pouvez éclairer un petit peu ma lanterne, ça serait tres sympa... si vous avez déja vu ça... si vous savez comment il a pu faire...
j'imagine que c'est un bot et que je ne peux pas me venger, mais j'aimerai au moins comprendre ? pourquoi tant de haine ???
merci d'avance...
je viens vous voir pour essayer de comprendre ce qu'il s'est passé.
j'étais avec la version 1.4.11 jusqu'à hier, et un petit malin a réussit à modifier le template index de tous mes thèmes... je vous joins en txt le code qu'il avait mis. Du coup, dès qu'on essayait d'aller sur index.php on se retrouvait avec une belle page noir avec quelques images et un grand "hacked by vicious" et des mots en russe, mais toutes les autres pages fonctionnaient parfaitement. J'ai donc récupéré une sauvegarde de ma bdd pour recopier mon code du template index, puis j'ai fait les màj 1.4.12 et 1.4.13.
Et depuis hier, j'essaie de voir dans mes logs qui a bien pu faire ça, et comment il a fait.
j'ai trouvé ça:
Citation :196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:40 +0200] "OPTIONS / HTTP/1.1" 200 2268 "-" "Microsoft Data Access Internet Publishing Provider Cache Manager"et ça:
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "OPTIONS / HTTP/1.1" 200 2268 "-" "Microsoft Data Access Internet Publishing Provider DAV 1.1"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "GET /_vti_inf.html HTTP/1.1" 404 211 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 225 "-" "MSFrontPage/4.0"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "GET /_vti_inf.html HTTP/1.1" 404 211 "-" "Mozilla/2.0 (compatible; MS FrontPage 4.0)"
196.206.192.49 indispensables.fr - [03/Jun/2010:14:04:41 +0200] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 225 "-" "MSFrontPage/4.0"
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_inf.html
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_bin
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_inf.html
[Thu Jun 03 14:04:41 2010] [error] [client 196.206.192.49] [host indispensables.fr] File does not exist: /homez.40/indispen/www/_vti_bin
Citation :91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /calendar.php?action=addevent&calendar=1 HTTP/1.1" 200 8087 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /index.php HTTP/1.1" 200 2268 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /search.php HTTP/1.1" 200 10646 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:45 +0200] "GET /memberlist.php HTTP/1.1" 200 41310 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:46 +0200] "POST /memberlist.php HTTP/1.1" 200 9435 "http://indispensables.fr/memberlist.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
91.212.226.106 indispensables.fr - [03/Jun/2010:14:45:46 +0200] "POST /memberlist.php HTTP/1.1" 200 9435 "http://indispensables.fr/memberlist.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
je sais que c'est arrivé entre 10h30 et 16h, mais le fichier des logs est tres gros, donc je fais le tri dans les ip que je connais, et celles-ci me semblent bizarres, la 1ere vient du maroc et la 2ème de russie, je penche donc pour la russe, mais je ne comprends pas comment il a pu attaquer mon site avec juste ça...
bref, si vous pouvez éclairer un petit peu ma lanterne, ça serait tres sympa... si vous avez déja vu ça... si vous savez comment il a pu faire...
j'imagine que c'est un bot et que je ne peux pas me venger, mais j'aimerai au moins comprendre ? pourquoi tant de haine ???
merci d'avance...