Je repose la question, et demande aussi à ton hébergeur de vérifier que la machine est saine.
J’ai eu le cas sur un serveur cet après midi :
- les mêmes
connect(3, {sa_family=AF_INET, sin_port=htons(6667), sin_addr=inet_addr(« 167.71.55.227 »)}, 16) = -1 ECONNREFUSED (Connection refused)lancées par/usr/sbin/client - le site de l’user concerné était propre (pas de trace de rootkit ou de fichiers malicieux)
- une analyse avec clamav a remonté des fichiers pas propres dans
/dev/shmcf
/dev/shm/.ICE-Unix/.dev/libprocesshider.so: Unix.Malware.Libprocesshider-10030016-0 FOUND
/dev/shm/.ICE-Unix/.dev/crond: Multios.Coinminer.Miner-6781728-2 FOUND
/dev/shm/.ICE-Unix/dev.jpg.2: Multios.Coinminer.Miner-6781728-2 FOUND
/dev/shm/.ICE-Unix/dev.jpg.1: Multios.Coinminer.Miner-6781728-2 FOUND
/dev/shm/.ICE-Unix/dev.jpg: Multios.Coinminer.Miner-6781728-2 FOUND
Après nettoyage des fichiers infectés et kill des process /usr/sbin/client pour l’user concerné, je n’en ai plus observé depuis.
Bref, il faut demander à ton hébergeur de faire son travail d’analyse sur la machine qui héberge ton site 