Bonjour,

Il y a probablement un webshell/phpshell installé par l'attaquant dans ton arbo spip. il faut le trouver et c'est pas toujours simple.

Je ne suis plus à la page sur les scripts de détection mais il y en a comme  https://github.com/idrisawad/Webshell-Detect

Si tu as des volumes Docker sur ton container Spip ("docker volumes ls"), l'upgrade d'image n'y changera rien, le webshell va rester là.

HTH

Le 02/10/2024 à 10:07, Franck Routier via FRsAG a écrit :
Bonjour,

si, la trace du traffic incriminé est donnée :

Attack detail : 9Kpps/6Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:34734 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:33292 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:59660 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:42332 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:55438 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN
2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:48408 141.94.111.221:22 TCP SYN 16384 
1277952 ATTACK:TCP_SYN

etc...

donc visiblement un de mes containers essaye de forcer le ssh de 141.94.111.221 
(dont le whois m'indique qu'il est chez OVH également...)

Pas un faux positif donc...

null
_______________________________________________
Liste de diffusion du French Sysadmin Group
https://www.frsag.org/

Répondre à