Re : Question suite à l'attaque du 12

Dans les fichiers de logs

Re : Question suite à l'attaque du 12

Merci, mais je ne connais que le fichier error.php dans le répertoire log, ou se trouve les autres ?
D'autre part j'ai accès bien sur aux statistiques fourni par mon hébergeur (online.net) mais je ne vois pas de rubriques au sujet des occurrences des users

Re : Question suite à l'attaque du 12

Part de l'idée que ton site a été visitée... Le contraire serait étonnant.

Le plus important est qu'il n'ait pas été hacké mais je me souviens que tu as posté récemment pour signaler que ton site avait été hacké. Chercher dans les logs est donc peu utile.

Mais si tu veux le faire, c'est le log des accès Apache et pas error.php. Le log dont il est question est accessible (normallement) dans ton cpanel. Contacte ton hébergeur pour lui demander où le trouver si tu ne sais pas; seul lui peut t'aider.

Bonne soirée.

Re : Question suite à l'attaque du 12

Merci, mais je ne vois pas ou se trouve "les occurrences JDatabaseDriverMysqli or O: dans vos User Agent" dans le top 8 des @ IP:

178-137-94-34-lvv.broadband.kyivstar.net
46.119.119.184
178-137-165-25-broadband.kyivstar.net
46.8.207.91.unknown.steephost.net
sol-fttb.149.113.118.46.sovam.net.ua
109.120.157.179.addr.datapoint.ru
82.193.99.33.usernat.ip.net.ua
134-249-76-28-broadband.kyivstar.net

De plus ces @ ne font plus d'error log côté Joomla, grâce à mon .htaccess non ?

Re : Question suite à l'attaque du 12

Personne n'a parlé d'IPs. C'est le user-Agent qui a été ainsi construit.

Le UA correspond à la fin de chaque ligne de log; la dernière info. Une fois le fichier de log ouvert dans un éditeur de texte, recherche sur les mots clefs que tu cites et si tu as été "visité", tu trouveras des lignes.

Bonne soirée.

Re : Question suite à l'attaque du 12

je ne comprends pas ta réponse cavo, quand on pense avoir été hacké il est toujours intéressant de consulter les logs

Re : Question suite à l'attaque du 12

Bonjour Webcrea.

Oui, cela mérite clarification.

phlibre a déjà posté par ailleurs et très récemment pour dire que son site était hacké. Ma réponse "Chercher dans les logs est donc peu utile" se voulait pragmatique : le temps qui serait investi à analyser, à la main, les logs d'accès est fort peu bien investi; le plus important étant de nettoyer son site puisque, ici, le hack était avéré.

Analyser les logs des accès est un exercice "de détective" pour, p.ex., tenter de comprendre par où sont passé les hackeurs, de quels pays ils proviennent (enfin, cette info est très peu fiable), quelle est la séquence de l'attaque, etc. Il faut remonter à plusieurs jours (semaines?) pour retrouver la première attaque.

Une requête dans le log vers /template/index.php en GET pourrait sembler à première vue normale mais si le fichier est déjà hacké et contient un truc comme eval($_GET[...., ce qui semblait sain ne l'est pas puisque ce eval permet d'exécuter du code. Ceci parce que le fichier était déjà hacké.

Il faut donc savoir où chercher et quand et cela prend un temps diabolique de faire ces analyses.

Voilà pourquoi, pour moi, sur le plan de l'efficacité, je pense qu'il vaut mieux investir son temps à nettoyer le site puis, le sécuriser (puisqu'il y a eu un hack c'est que le site, une fois propre, est toujours failible) et si on a le temps et l'envie à jouer aux détectives.

Bonne journée et excellente année 2016 à tous.