Je suis en train d'étudier les logs de mon piratage pour tirer les choses au clair.
Et, ce faisant, je suis tombé dans les logs d'Apache sur des appels du script ucp.php en mode POST et non pas GET comme c'est le cas le plus souvent.
As-tu fait une sauvegarde de ta base de données après le piratage ? Je te pose cette question car si le pirate a utilisé un user de fondateur tu dois avoir dans le journal des administrateurs les actions qu'il a faites et son IP en regard
Je viens de télécharger le fichier de logs du mois de juin, j'ai plus de 19000 lignes sur un total de 1 800 000 lignes avec
"POST /phpBB3/ucp.php?mode=login HTTP/1.0" et "POST /phpBB3/ucp.php?mode=register HTTP/1.0"
Oui, j'ai fait une sauvegarde, mais il avait des connaissances suffisantes du PCA pour aller supprimer les journaux.
Je continue mon travail d'analyse, mais j'étais surpris par ces POST.
Sur un forum de test je viens d'effacer deux lignes dans le panneau d'administration voici la syntaxe de cet effacement dans le fichier log
"POST /adresse site de test/adm/index.php?i=acp_logs&mode=admin&sd=d&sk=t&st=0&start=0&sid
Je n'ai pas mis la fin de la ligne qui est spécifique à notre forum
De toute manière, je fais cela en autopsie, parce que le forum a été rétabli avec une sauvegarde du matin (6 h 30) suivie d'une suppression/bannissement des comptes voulus.