LilyC
13/12/2015, 10h36
En parcourant mes logs, j'ai trouvé quelques actions correspondant aux moments où le pirate a mis ses contenus spammés sur mon site.
Par exemple :
Il y en a pas mal de ce genre, quand des pages de spams ont été postées
Ca si j'ai bien compris c'est OVH vu l'IP (et le fait qu'on la retrouve sur tous mes logs avec des actions sur wp-cron)
2 jours avant
Donc si je comprends bien il se sert du fichier louche que j'ai trouvé dans mon dossier uploads et d'une faille du plug-in wysija (ce fichier est là depuis très longtemps, je pense qu'il date de l'attaque de juillet 2014 sur ce plug-in notamment... mon plug-in était mis à jour mais le fichier est resté)
Comme tous les pages de spams étaient sur mon nom de domaine sans les www. (alors que mes visites sont toujours sur le www.) j'ai cherché "http://lacourdespetits.com" dans les logs et je vois des trucs que je ne comprends pas comme ça :
Si quelqu'un a quelques minutes (ou un lien vers une page d'explication), je serai ravie !
Par exemple :
46.45.183.142 lacourdespetits.com - [15/Nov/2015:06:15:23 +0100] "POST /forum/xmlrpc.php HTTP/1.1" 200 187 "http://lacourdespetits.com/forum/xmlrpc.php" "Mozilla/24.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0"
213.186.33.82 lacourdespetits.com - [15/Nov/2015:06:15:35 +0100] "POST /forum/wp-admin/upgrade.php?step=upgrade_db HTTP/1.0" 200 27 "-" "WordPress/4.3.1; http://lacourdespetits.com/forum"
2 jours avant
194.44.163.149 lacourdespetits.com - [13/Nov/2015:13:43:20 +0100] "POST /wp-content/uploads/wysija/themes/qptzqqwm/zhlogout.php HTTP/1.1" 200 8 "http://lacourdespetits.com/wp-content/uploads/wysija/themes/qptzqqwm/zhlogout.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0"
Comme tous les pages de spams étaient sur mon nom de domaine sans les www. (alors que mes visites sont toujours sur le www.) j'ai cherché "http://lacourdespetits.com" dans les logs et je vois des trucs que je ne comprends pas comme ça :
5.45.79.44 www.lacourdespetits.com - [09/Sep/2015:14:09:43 +0200] "GET /wp-contentwso.php HTTP/1.1" 404 38941 "http://lacourdespetits.com/wp-contentwso.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
91.200.13.64 www.lacourdespetits.com - [07/Sep/2015:05:56:35 +0200] "GET / HTTP/1.1" 200 65332 "http://lachowicz-kapelski.pl/" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/534.30 (KHTML, like Gecko) Ubuntu/11.04 Chromium/12.0.742.112 Chrome/12.0.742.112 Safari/534.30