[quote=“mattotop”]Si j’ai bien compris, quand tu n’actives aucun proxy et que tu ne déclares qu’un site composé d’une page vierge, ca continue.
L’apache est donc la faille. [/quote]
C’est tout à fait ca 
[quote=“mattotop”]Ce que je ne comprends pas par contre c’est que tu disais au tout début qu’il suffisait que tu desactives le site dans apache pour bloquer l’attaque.
Ca veut dire que quand tu n’as aucun “site-enabled”, même pas de page vierge à la racine de /var/www, ça bloque les attaques, et qu’il suffit que tu ajoutes un site pour que ça redémarre ? [/quote]
En fait, j’ai pas enlevé “site-enabled”, j’ai simplement commenté tout les sites qui étaient déclaré dedans. Première chose qu’on a faites, désinstallation apache2 avec un dpkg --purge. Ca n’a rien changé donc on a enlevé tout les sites qui utilisait “ProxyPass” et “ProxyPassReverse” (le premier de la liste en était un). Quelque heures après, nous avons regardé les dates d’écritures des fichiers de log et on s’est apercu qu’apache logué plus dans acces.log, mais dans le fichier : nomDuSite_access.log. (d’où le moment où l’on pensait que l’attaque s’était arrété
) et l’attaque se servait du second site qui était mis dans “site-enabled” (donc du www je pense)
Dans le /var/www/ j’ai un dossier avec les fichiers de base d’mrtg, un dossier apache2-default, un dossier qsstats (stat pour qmail) et un dossier vide server-status
Voila quelques lignes que je vois dans le fichier acces.log :
221.226.124.126 - - [06/Jun/2007:12:01:54 +0200] "GET http://135531.com:80/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.1" 403 209 "-" "Mozilla/3.0 (compatible; Indy Library)"
221.226.124.126 - - [06/Jun/2007:12:01:54 +0200] "GET http://searchour.com:80/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.1" 403 209 "-" "Mozilla/3.0 (compatible; Indy Library)"
sp34.ipt.ru - - [06/Jun/2007:12:02:03 +0200] "GET http://images.google.com/ HTTP/1.0" 403 202 "-" "-"
Et ce qu’il y a dans error.log
[Wed Jun 06 12:03:00 2007] [error] [client 61.41.234.46] mod_security: Access denied with code 403. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"] [hostname "images.google.com"] [uri "http://images.google.com/"]
[Wed Jun 06 12:03:08 2007] [error] [client 62.194.230.232] mod_security: Access denied with code 403. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"] [hostname "www.microsoft.com"] [uri "http://www.microsoft.com/en/us/default.aspx"]
[Wed Jun 06 12:03:14 2007] [error] [client 83.19.65.58] mod_security: Access denied with code 403. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"] [hostname "images.google.com"] [uri "http://images.google.com/"]
Je vais regarder si je trouve quelque chose 
Merci de ton aide
[/code]