Tweet
Bonjour,
Après le blocage de mon site par OVH en raison d'une exécution non autorisée de scripts, je suis en train de jeter un coup d'œil sur mon log http du jour où le problème s'est produit.
Dans le relevé, je note une série de requêtes liées à l'adresse IP 158.69.24.81.
1er élément : cette adresse IP correspond à une agence gouvernementale américaine liée à la sécurité :
2e élément : les requêtes elles-mêmes, qui sont de type "post".
(Remarque : j'ai remplacé le nom de domaine d'origine par site.xxx pour éviter son identification).
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /libraries/f0f/encrypt/general.php HTTP/1.1" 403 235 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /modules/mod_articles_categories/helper.php HTTP/1.1" 403 244 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:42 +0100] "POST /modules/mod_articles_latest/helper.php HTTP/1.1" 403 240 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /libraries/f0f/encrypt/general.php HTTP/1.1" 403 235 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /modules/mod_articles_categories/helper.php HTTP/1.1" 403 244 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:42 +0100] "POST /modules/mod_articles_latest/helper.php HTTP/1.1" 403 240 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
Est-ce que je me trompe du tout au tout ou bien il s'agit d'un piratage en règle avec remplacement ou ajout de fichiers ?
Merci d'avance.
Après le blocage de mon site par OVH en raison d'une exécution non autorisée de scripts, je suis en train de jeter un coup d'œil sur mon log http du jour où le problème s'est produit.
Dans le relevé, je note une série de requêtes liées à l'adresse IP 158.69.24.81.
1er élément : cette adresse IP correspond à une agence gouvernementale américaine liée à la sécurité :
2e élément : les requêtes elles-mêmes, qui sont de type "post".
(Remarque : j'ai remplacé le nom de domaine d'origine par site.xxx pour éviter son identification).
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /libraries/f0f/encrypt/general.php HTTP/1.1" 403 235 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /modules/mod_articles_categories/helper.php HTTP/1.1" 403 244 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:42 +0100] "POST /modules/mod_articles_latest/helper.php HTTP/1.1" 403 240 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /libraries/f0f/encrypt/general.php HTTP/1.1" 403 235 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:40 +0100] "POST /modules/mod_articles_categories/helper.php HTTP/1.1" 403 244 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
158.69.24.81 site.xxx - [26/Nov/2015:20:57:42 +0100] "POST /modules/mod_articles_latest/helper.php HTTP/1.1" 403 240 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
Est-ce que je me trompe du tout au tout ou bien il s'agit d'un piratage en règle avec remplacement ou ajout de fichiers ?
Merci d'avance.
Commentaire