Quelques nouvelles.
Le bot en question est une version moderne d'un vieux truc (on en
trouve des traces depuis 2003) :
https://www.politoinc.com/post/2015/04/01/analysis-of-a-romanian-botnet
https://forum.directadmin.com/threads/cannot-restart-apache.17795/
https://forums.gentoo.org/viewtopic-t-316934-postdays-0-postorder-asc-start-0.html
Je n'ai rien trouvé de bizarre en examinant les disques. Je me demande
si ce vers ne vient pas par une injection externe, la machine ayant été
tagguée quelque part comme vulnérable. Le bot ne se lance pas à une
heure précise comme dans le cas d'un cron (apache2 utilise mod-secure).
Petite remarque : j'ai modifié allow_url_fopen de on à off dans le
fichier de configuration de php 8.2 (je ne vois pas pourquoi c'est 'on'
par défaut). /tmp est maintenant en noexec.
À suivre.
JB
