Mes soupçons ce sont alors portés sur les logs d'accès (acces.log) :

xxx.xxx.xxx.xxx - - [11/Nov/2006:08:56:44 +0100] "GET /index.php?title=Special:Recentchanges&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&amp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&amp%3Bamp%3Bamp%3Bfeed=atom&amp%3Bamp%3Bfeed=atom&amp%3Bfeed=rss&feed=rss HTTP/1.1" 200 60626 "-" "Mozilla/5.0 (compatible; Yoono; http://www.yoono.com/)"

Après investigation, il apparaîtrait que ce soit une attaque exploitant une faille, corrigée sur notre version, de Wikimedia.

D'après le whois, les IPs viendraient d'une société spécialisée dans la sécurité informatique (un comble !) et d'une résidence universitaire française... On peut supposer qu'on est en présence, soit d'étudiants s'amusant un samedi soir, soit de machines sous Windows transformées en zombies et attaquant à tout-va !

root@borsalino ~> cat access.log |grep ":Recentchanges&amp%3Bamp%3Bamp%3Bamp%3Bamp" --count
6498

Sachant que je grep un log qui est en rotation journalière... Ca fait quand même beaucoup !

La sanction :

iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP

Et ce, afin de bloquer l'accès à la machine à cette IP et aux autres...

Merci à SpeedFire du chan #fedora-fr pour son cour sur iptables.