Erwann Le Bras a écrit : > bonjour Bonjour,
> plusieurs pistes : > > - un truc qui se lance au démarrage de la machine et reste bien planqué > qui lance la saleté de temps en temps) ? > Je pense par exemple, s'il a exploité une faille de Apache à la base, a > pu modifié la config pour se lancer? Ou au boot de la machine > (systemctl) si les privilèges acquis permettaient d'avoir les droits "root" Il n'y a pas de systemctl, c'est un serveur Devuan. > -SPIP est basé sur PHP ; je ne pense pas que le système SPIP lui-même > serait touché (pas assez populaire) , mais les lancement de PHP? > > -Même remarque avec Perl, puisqu'il tourne avec. > > - Tu as fait un script /bin/sh, c'est très bien... à condition qu'il > passe bien par sh et pas directement par un autre shell. dans ce cas, > renommer tous les shelles présents en .sav, les remplacer par des liens > vers ton /bin/sh, et enfin lancer le script légitime avec le shell > d'origine.sav. Il passe par sh (j'ai le script zombie qui me l'indique). JB