bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une
machine.
Ce matin, je tente d'acceder au serveur https.
il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait
encore parfaitement.
le probleme vient d'un module chargé:
mod_proxy
Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé,
il me semblait l'avoir supprimé de la configuration d'Apache.
Dans le fichier proxy.load, j'ai une etrange ligne:
LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache.
Lors de mon update, j'ai pu voir que cette lib avait été mise a jour.
Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de
configuration et comment le fichier a pu obtenir cette ligne, ni comment
Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs.
Rien d'anormal a premiere vu.
L'authentification sur ma machine se fait uniquement via cle, pas par
mot de passe, pas d'acces root.
Quelques services tournent dessus, accessible depuis le net, mais
consultant les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les
acces etrangers :(
Avez vous connaissance d'un exploit similaire?
Savez vous comment je peux decompiler une librairie pour analyser le
contenu de cette lib?
Bien cordialement,
Matthieu