comme tu as pu t'en rendre compte, il ne s'agit pas d'un vrai serveur apache.
le vrai nom du processus est masqué ce qui fait que tu ne peux pas le voir avec la commande "ps", ça ne veut pas forcément dire que la commande "ps" est compromise, en effet il y a des astuces pour tronquer le nom du process tel qu'il apparait avec "ps", je ne saurais pas te décrire l'astuce mais j'ai déjà rencontré le cas
pour voir le vrai nom du process, tu peux utiliser la commande "lsof | grep LISTEN".
Jette également un coup d'oeil à la cron de "www-data"...
Et oui, tout ceci n'est pas innocent, je me suis déjà fait avoir, un "utilisateur technicien" m'avait installé une saloperie en php et a ouvert une faille (avec remote inclusion etc...), et un petit malin avait installé un robot, mais ce robot n'écoutait pas le port 80...
Etant donné qu'il s'agissait d'un serveur "dans la nature" que je n'administrais plus, je n'avait pas pu prévenir l'utilisateur des failles qu'il pouvait ouvrir...mais quand une banque s'est plainte de phishing, on m'a vite contacté pour comprendre ce qu'il se passait :)
ce robot masquait son nom avec "ps" exactement comme toi. mais comme le "pirate" n'était pas passé root, il n'a pu installer son truc que dans /tmp...
Ce qui est inquiétant dans ton cas, c'est que pour écouter le port 80 il faut être root....donc un coup de chkrootkit me semble quand même important.
# you've been hacked
Posté par Dabowl_92 . En réponse au message Comportement suspect. Évalué à 4.
le vrai nom du processus est masqué ce qui fait que tu ne peux pas le voir avec la commande "ps", ça ne veut pas forcément dire que la commande "ps" est compromise, en effet il y a des astuces pour tronquer le nom du process tel qu'il apparait avec "ps", je ne saurais pas te décrire l'astuce mais j'ai déjà rencontré le cas
pour voir le vrai nom du process, tu peux utiliser la commande "lsof | grep LISTEN".
Jette également un coup d'oeil à la cron de "www-data"...
Et oui, tout ceci n'est pas innocent, je me suis déjà fait avoir, un "utilisateur technicien" m'avait installé une saloperie en php et a ouvert une faille (avec remote inclusion etc...), et un petit malin avait installé un robot, mais ce robot n'écoutait pas le port 80...
Etant donné qu'il s'agissait d'un serveur "dans la nature" que je n'administrais plus, je n'avait pas pu prévenir l'utilisateur des failles qu'il pouvait ouvrir...mais quand une banque s'est plainte de phishing, on m'a vite contacté pour comprendre ce qu'il se passait :)
ce robot masquait son nom avec "ps" exactement comme toi. mais comme le "pirate" n'était pas passé root, il n'a pu installer son truc que dans /tmp...
Ce qui est inquiétant dans ton cas, c'est que pour écouter le port 80 il faut être root....donc un coup de chkrootkit me semble quand même important.
essaye de nous en dire plus sur ton cas