Bonjour,
j'ai eu la mauvaise surprise de découvrir dans plusieurs répertoires de sites hébergés sur mon serveur que des fichiers y avait été insérés et des répertoires créé.

J'ai identifié et effacé les fichiers gun*.php qui contiennent des lignes de code destinés à hacker le serveur.

Néanmoins, il semble qu'il y en ai d'autres sous d'autres noms.

Dans ce cas comment puis-je faire pour identifier l'ensemble des fichiers appartenant à un utilisateur spécifique, www-data, car normalement l'ensemble des fichiers ont pour utilisateur le propriétaire du site. Or ces fichiers ont comme utulisateur www-data (apache)

J'ai effectué des tests avec chrootkit, et rkhunter et rien departiculier à signaler.

Pour info mon serveur et protéger par iptable et j'ai plusieurs logiciels de securite comme fail2ban, rkhunter...

Les sites qui ont été touché ont ete bati sur plusieurs framework (joomla, prestashop, interne) et il semble que ça soit la meme personne à l'origine (car fichier gun)donc je pense que ça peut venir d'une faille apache ou du serveur?

Je viens de faire une mise à jour d'apache, j'ai maintenant la version 2.2.9.

Mon serveur:
- Debian Lenny
- Virtualmin
- Apache 2.2.9

Merci d'avance pour votre aide et conseil afin d'éviter que ça se propage et identifier les sources du probleme.