Forum Linux.debian/ubuntu apache2 ne marche plus: serveur piraté?

Posté par Tonguim Ferdinand GUINKO (site web personnel) le 18 janvier 2007 à 12:52.

Étiquettes : aucune

jan.

2007

Bonjour,

depuis hier,

les pages web de mon serveur web (apache2), refusent de s'afficher. Après vérification, je constate que le serveur apache refuse de s'exécuter:

web:~# /etc/init.d/apache2 start

Starting web server: Apache2(2)No such file or directory: apache2: could not open error log file /var/log/apache2/error.log.

Unable to open logs

Le dossier apache2 n'existe plus, encore moins les fichiers log de apache.

Je pense que mon serveur a été piraté; mais ce n'est qu'une hypothèse! Comme vérifié cela vu le fait que les fichiers log de apache semblent absents?

Merci

# Apache 1?

Posté par Lol Zimmerli (site web personnel, Mastodon) le 18 janvier 2007 à 13:11. Évalué à 1.

Et est-ce que /var/log/apache/ existe?
La gelée de coings est une chose à ne pas avaler de travers.
# forte chance

Posté par B. franck le 18 janvier 2007 à 17:29. Évalué à 2.

il y a de forte chance d'être en présence d'une compromission

mais il faudrait vérifier quand même si /var/log/apache2 n'était pas sur une partition indépendante pas ou mal montée ?
# log d'apache

Posté par Tonguim Ferdinand GUINKO (site web personnel) le 19 janvier 2007 à 09:00. Évalué à 1.

Bonjour,

merci à Lol Zimmerli, B. franck pour leurs réponses:
le fichier log d'apache ne se trouve pas à l'endroit attendu:

web:/var/log# ls
all.log kdm.log mail.warn.0 syslog.4.gz
auth.log kern.log messages syslog.5.gz
base-config.log localization-config.log secure syslog.6.gz
base-config.timings lpr.log syslog user.log
daemon.log mail.err syslog.0 uucp.log
daemon.log.0 mail.info syslog.1.gz XFree86.0.log
debug mail.log syslog.2.gz XFree86.0.log.old
dmesg mail.warn syslog.3.gz
web:/var/log#

Quant à l'inquiétude de B. Franck, les installations ont été effectuées dans les repertoires par défaut. De plus, tout le système fonctionnait normalement depuis plus de 6 mois.
- [^] # Re: log d'apache
  
  Posté par Yves Bourguignon le 21 janvier 2007 à 11:47. Évalué à 1.
  
  Je pense à plusieurs points à vérifier :
  - espace disque ( /var sur part indépendante ?) : df -h
  - système de fichier corrompu ? : fsck
  - analyse des log système : dmesg, syslog...
  - quelles ont été les dernières modifs dans apache2.conf et quand ?
  
  Si le doute persiste quand au piratage...
  - quelle version d'apache2 ?
  - AIDE (Advanced Intrusion Detection Environment).
  - recherche de rootkit : chkrootkit (http://www.chkrootkit.org/)
  
  Un bon forum pour apache :
  http://www.developpez.net/forums/forumdisplay.php?f=205
  - [^] # Re: log d'apache
    
    Posté par Tonguim Ferdinand GUINKO (site web personnel) le 23 janvier 2007 à 19:27. Évalué à 1.
    
    Merci à Yves Bourguignon pour sa réponse:
    
    -les disques ne sont pas pleins
    -aucune modification n'a été effectué dans apache2.conf depuis plus de 5 mois
    
    -le programme chkrootkit refuse de s'exécuter sur le serveur.
    
    Finalement, pour avancer, j'ai décidé de reformater le serveur et reprendre les installations ... sans savoir ce qui s'est réellement passé!!!