Nous avons téléchargé les "logs" (vous pouvez les supprimer du site). Ils couvrent la période "[30/Aug/2006:04:08:05 +0200]" à "[02/Sep/2006:00:41:28 +0200]", ce qui est assez court (pas beaucoup de données dans le passé). Nous allons voir si nous pouvons y trouver néanmoins des informations intéressantes pour notre investigation.

Avez vous identifié comment le pirate avait installé cette page ?
Avez vous identifié d'autres pages suspectes qui auraient été déposée sur votre site ?
Apparemment, il la mettait à jour régulièrement pour changer le site vers lequel la page pointait. Il doit donc avoir un moyen de "se connecter" sur le site :
- soit une faille dans l'application PHP que vous utilisez sur le site
- soit une page PHP ajoutée (qui permet au pirate d'uploader des fichiers)
- soit un mot de passe "admin" volé

En tout cas, je vous conseille de :
- surveiller le site (cas où le pirate installerait d'autres pages)
- vérifier que vous avez installé la dernière version des logiciels PHP que vous utilisez
- changer les mots de passe "admin"

Merci de votre collaboration. Nous vous tiendrons au courant si nous trouvons quelque chose d'intéressant.

Sincères salutations,

www.cert-ist.com