# Incident cluster128 (iavddcx-kevin) — 2026-06-23

## Contexte
Re-scan J+8 apres remediation 2026-06-15. Re-infection partielle SEO-Booster.
Topologie: 12/13 sites partagent la base iavddcxu (prefixes distincts); medicalesthetique = base iavddcx641.

## Detection
Re-infection wp-helper (faux plugin "Content Optimizer", hooks sitemap aioseo/wpseo/seopress + payload _<hex>.php).
Tous deposes le 2026-06-22 10:37-11:46 UTC. 5 sites: amar, assayag, azogui, lasvergnas, medina.
Aucun webshell/backdoor fichier, aucun admin cache, wp-cron propres, functions.php Impreza sains.
8 sites sains: abtan, lahmi, medicalesthetique, miquel, nassif, s-hombrouck, smileart-ads, zeitoun-saal.

## Remediation
- Backup base partagee: .maintenance-logs/backups-cluster128-2026-06-23/iavddcxu-FULL-2026-06-23.sql
- Quarantaine: _quarantine_<site>_2026-06-23/ (5 wp-helper)
- active_plugins: retrait entree wp-helper (valeur sauvee *-active_plugins.bak)
- Verif externe: 5 sites en ligne, propres (amar maintenance volontaire; lasvergnas restaure via licence Impreza)

## VECTEUR D ENTREE (cause racine)
Cle SSH attaquant persistante dans ~/.ssh/authorized_keys: "ubuntu@ns3246728" (serveur dedie).
Survivante du nettoyage fichier du 15/06 -> reconnexion SSH 22/06 -> re-drop cross-site (UID partage).
RETIREE le 2026-06-23 (backup: .maintenance-logs/authorized_keys.bak-2026-06-23).
Cles conservees (dev legitimes, agence hulsia): ratafita.nekena@gmail.com, nekena@...local + claude-code-audit.

## A FAIRE (durcissement)
- [ ] Rotation mot de passe SSH/FTP compte iavddcx-kevin (manager OVH)
- [ ] Rotation mots de passe admin WP des 5 sites
- [ ] Re-verif authorized_keys + re-scan a J+2 (2026-06-25) et J+7 (2026-06-30)
