Bonjour,
je pense que mon serveur s'est fait pirater.
Apache est down depuis hier matin 7h00.
Impossible de le relancer depuis.
Le pid file était absent, j'ai réinstallé apache cela remarchait une heure avec la config par défaut. J'ai un panel dtc pour l'administration des sites webs hébergés.
Le pirate est semble-t-il repassé car l'apache est à nouveau down avant que j'ai pu re-paramétrer.
Je pense à un rootkit ou une escalade de privilèges même si je n'ai encore aucune trace. J'ai parcouru tous les logs, rien d'explicite ni d'exotique.
Cela dépasse mes connaissances en debian en tout cas. Auriez-vous une idée pour :
1) réinstaller apache proprement sans toucher bien sûr aux données dans le data dir spécifique
2) colmater la faille et virer l'intrus
3) conseils pour le futur ?
Mon association recherche à ce propos un consultant free-lance en sécurité debian serveur web essentiellement. Contact par mp.
Partager