Bonjour,
Il y a probablement un webshell/phpshell installé par l'attaquant dans ton arbo spip. il faut le trouver et c'est pas toujours simple.
Je ne suis plus à la page sur les scripts de détection mais il y en a comme https://github.com/idrisawad/Webshell-Detect
Si tu as des volumes Docker sur ton container Spip ("docker volumes ls"), l'upgrade d'image n'y changera rien, le webshell va rester là.
HTH
Le 02/10/2024 à 10:07, Franck Routier via FRsAG a écrit :
Bonjour,
si, la trace du traffic incriminé est donnée :
Attack detail : 9Kpps/6Mbps dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:34734 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:33292 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:59660 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:42332 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:55438 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN 2024.10.01 06:42:21 CEST 1xx.1xx.1xx.1xx:48408 141.94.111.221:22 TCP SYN 16384 1277952 ATTACK:TCP_SYN
etc...
donc visiblement un de mes containers essaye de forcer le ssh de 141.94.111.221 (dont le whois m'indique qu'il est chez OVH également...)
Pas un faux positif donc...