Ichiro 2.0, Mass deleter, hacker?

WRInaute accro
8O Hé oui comme le titre l'indique, je me pose des questions par rapport au bot ichiro/2.0.
J'explique, un client (dont le site date de decembre dernier) me demande une modif pour etre dans la legalite car un texte de loi a changé (enfin bref c'est pas le sujet ici), et donc je le fais et là!

Ho surprise, la base de donnée à été vidée!
Bon je sais ca peut arrivé, mais en plus les images et fiches technques sur le serveur sont supprimées, ce qui indique que les delete ont été lancés de l'administration en ligne "sécurisée" par un mot de passe (+ ou - complexe mais pas de base).

Dans les logs à la date de modifs de la base de donnée, je retrouve en effet une activité du pannel d'admin et ce n'est pas mon client.
Voici les lignes en questions
Code:
210.150.10.104 - - [02/Jun/2007:05:39:47 +0200] "GET /WebAdmin/index.php?act=news&act_news=del&id_news=8 HTTP/1.1" 302 2822 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:41:51 +0200] "GET /WebAdmin/index.php?act=news&act_news=del&id_news=5 HTTP/1.1" 302 2822 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:43:55 +0200] "GET /WebAdmin/?act=occaz&edit=1 HTTP/1.1" 302 2852 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:45:59 +0200] "GET /WebAdmin/?act=neuf&edit=1 HTTP/1.1" 302 5443 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:48:04 +0200] "GET /WebAdmin/?act=pass&see=1 HTTP/1.1" 302 3492 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"

Alors oui je viens de voir que j'ai oublié de mettre un robots.txt (chose que je viens de faire), je viens de modifier les codes FTP et BDD + ajout d'un htaccess pour restreindre l'acces a l'admin en + du login déja existant.
Comment un moteur de recherche peux réussir à casser un code?
Les autres pages ne sont accessible qu'apres identification !!
J'avoue etre sur le cul par cette decouverte etrange,
Est ce un hacker qui se fait passer pour ichiro? ou ichiro est un crawler/hacker :D ?
Qu'en pensez vous?
 
WRInaute impliqué
change aussi le nom du repertoire d'administration ...
admin/, administration/, webadmin/ ...
c'est pas top.
 
WRInaute accro
Oui il passe où les autres trépasse, c'est facile techniquement à faire ca quand il y a une authentification demandée?
C'est grave quand même, n'est ce pas docteur? Si il se met a effacer toutes les bases de données de gros sites (style wri, etc) ca va faire du grabuge !
 
WRInaute accro
sonikbuzz a dit:
rog a dit:
il a rien réussi à passer puisque la reponse de ton server est 302

rog

bproductiv > il n'est PAS passé .
Peux tu approfondir un peu ta réflexion sonikbuzz :?: car il m'a quand même effacer toutes mes entrées dans la base de donnée en suivant les liens dans l'admin ! :evil:
Et c'est vrai que quand c'est code 302 c'est que la ressource est trouvée, non?
 
WRInaute passionné
302 c'est une redirection donc il n'est pas passé sinon la reponse http serait 200 OK

si tes données ont été effacées sur le passage du bot ce n'est certainement pas sa faute

la seule explication plausible serait un mauvais parametrage d'un systeme de cache (que je ne maitrise pas) qui aurait redirigé vers une page en ccache sans sans tenir compte de la query

et le cache ne rencontrant pas la page de resultat aurait effectué la requête

30x Redirection Ces codes indiquent que la ressource n'est plus à l'emplacement indiqué
301 MOVED Les données demandées ont été transférées a une nouvelle adresse
302 FOUND Les données demandées sont à une nouvelle URL, mais ont cependant peut-être été déplacées depuis...
303 METHOD Cela implique que le client doit essayer une nouvelle adresse, en essayant de préférence une autre méthode que GET
304 NOT MODIFIED Si le client a effectué une commande GET conditionnelle (en demandant si le document a été modifié depuis la dernière fois) et que le document n'a pas été modifié il renvoie ce code.
 
WRInaute occasionnel
bproductiv a dit:
sonikbuzz a dit:
rog a dit:
il a rien réussi à passer puisque la reponse de ton server est 302

rog
bproductiv > il n'est PAS passé .
Peux tu approfondir un peu ta réflexion sonikbuzz :?: car il m'a quand même effacer toutes mes entrées dans la base de donnée en suivant les liens dans l'admin ! :evil:
Et c'est vrai que quand c'est code 302 c'est que la ressource est trouvée, non?
302 c'est une redirection . un code ok c'est 200 .
Logiquement tu devrais avoir une autre ligne en 200 (apres celle en 302) indiquant donc que la page a été affichée et traitée correctement.
Le truc bizarre c'est les url avec variables donc a priori l'admin a bien était crawlée :(

Il y avait un lien vers l'admin sur ton site ? si oui c'est pas une bonne chose

PS: je ne suis pas un specialiste des log apache, je reprenais juste les propos de rog dont tu ne semblais pas tenir compte.
 
WRInaute accro
Ha désolé j'avais mal lu le premier post de rog... :(
Bon ben le mystere reste quand mm entier, enfin j'ai pris les disposition necessaire depuis je ne devrais plus avoir ce genre de soucis, enfin je le souhaite !
Merci a tous pour vos éclaircissements
 
Haut