• # Pistes

    Posté par (site web personnel, Mastodon) . En réponse au message Comportement suspect. Évalué à 1.

    Moi j'essaierais un find / -name "*httpd*"
    je regarderais tout ce qui tourne sous www-data avec ps auxf|grep www-data
    et j'irai voir ce qu'il y a dans /proc/22622/

    Je pencherai pour un CMS buggué ou écrit avec les pieds qui a un problème de cross-site-scripting; il a pu télécharger et lancer, sous www-data, un exécutable. As-tu désactivé les URL pour fopen dans php.ini?

    La gelée de coings est une chose à ne pas avaler de travers.