Non sono sicuro che ciò possa indicare un server compromesso o se sono solo paranoico.
Mentre giocherellava con Apache e Webmin su un nuovo server virtuale Ubuntu 14.04 (così come i record DNS per il suo nuovo nome di dominio), Apache si è improvvisamente rifiutato di riavviarsi, con il seguente messaggio:
(99)Cannot assign requested address: AH00072: make_sock: could not bind to address 54.201.82.69:80
no listening sockets available, shutting down
AH00015: Unable to open logs
Action 'start' failed.
The Apache error log may have more information.
Ecco ed ecco, ports.conf di Apache conteneva i seguenti elementi:
Listen 8080
Listen 54.201.82.69:80
La porta 8080 è stata messa lì deliberatamente per i test, non molto tempo prima. L'indirizzo IP seguito dalla porta 80 è appena apparso dal nulla. All'indagine * .com.com risolve questo IP, che sembra essere un host per malware.
D'altra parte, sembra almeno concepibile che un qualche tipo di script o processo automatizzato (forse Webmin?) abbia risolto erroneamente un nome host con un ".com" in più alla fine e, per qualche strana ragione, lo abbia spinto in ports.conf. Inoltre, se fosse stato inserito maliziosamente da un intruso, non avevo idea di cosa avrebbe ottenuto.
L'unico altro programma che avrebbe dovuto incasinare la configurazione di Apache era la webmail roundcube, da un repository ufficiale. Non c'è nessun altro con accesso a questo server. Il registro di autenticazione mostra un numero di tentativi di accesso SSH non riusciti da vari IP, nelle diverse ore in cui il server è stato attivato, ma nessun registro di accesso riuscito diverso dal mio.
Non so se dovrei dare questo a qualche strano snafu di configurazione o cambiare tutte le password e iniziare a pulire con un firewall restrittivo.