CPU à 100 % sans raison apparente. Des processus inconnus dans /tmp. Des clés SSH que vous n'avez jamais ajoutées. Si l'un de ces signes vous parle, votre serveur a probablement été compromis. Voici comment vérifier et agir.
Scanner mon serveur gratuitementUn serveur compromis ne vous envoie pas de notification. Les attaquants sont discrets — ils veulent que votre serveur continue de fonctionner pour miner de la crypto, envoyer du spam ou servir de relais pour d'autres attaques. Voici les indices les plus courants.
Un cryptomineur tourne probablement en arrière-plan. Les attaquants utilisent votre serveur pour miner du Monero ou d'autres cryptomonnaies. Vérifiez avec top ou htop — cherchez les processus qui consomment plus de 90 % du CPU.
Les attaquants placent leurs binaires dans des répertoires temporaires car ils sont en écriture pour tous les utilisateurs. Cherchez des fichiers exécutables avec des noms aléatoires ou des binaires ELF dans /tmp, /var/tmp et /dev/shm.
Une porte dérobée classique : l'attaquant ajoute sa propre clé SSH pour un accès permanent. Vérifiez les fichiers authorized_keys de tous les utilisateurs, en particulier root et les comptes de service.
Les attaquants ajoutent des tâches cron pour assurer la persistance. Même si vous supprimez leur malware, le cron le retéléchargera. Vérifiez les crontabs de tous les utilisateurs et les fichiers dans /etc/cron.d/.
Les malwares communiquent avec des serveurs de commande et contrôle (C2). Vérifiez les connexions sortantes, en particulier vers des ports inhabituels ou des IP dans des pays inattendus.
Les web shells et les backdoors PHP sont injectés dans vos répertoires web. Cherchez les fichiers PHP modifiés récemment dans les répertoires d'upload et les fichiers avec des noms suspects comme config2.php ou cache_x.php.
Si vous suspectez une compromission, suivez ces étapes dans l'ordre. Documentez tout ce que vous trouvez — vous en aurez besoin si vous devez signaler l'incident à la CNIL ou à votre hébergeur.
Ne coupez pas le serveur brutalement — vous perdriez les preuves en mémoire. Si possible, restreignez le trafic sortant via iptables tout en gardant votre accès SSH. Cela empêche le malware de communiquer avec son serveur C2 ou de se propager.
$ iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
$ iptables -A OUTPUT -j DROP
Listez tous les processus en cours et cherchez les anomalies : noms aléatoires, binaires dans /tmp, processus qui consomment beaucoup de CPU ou de bande passante. Notez les PID et les chemins des exécutables.
$ ps auxf | grep -v "\[" | sort -nrk 3 | head -20
$ ls -la /proc/$(pgrep -f suspicious)/exe 2>/dev/null
$ find /tmp /var/tmp /dev/shm -type f -executable
Les attaquants installent des mécanismes de persistance pour survivre aux redémarrages. Vérifiez les crontabs, les services systemd, les fichiers de démarrage et les modules du noyau chargés.
$ crontab -l && ls -la /etc/cron.d/
$ systemctl list-units --type=service --state=running
$ cat /etc/ld.so.preload 2>/dev/null
$ grep -r "authorized_keys" /root /home 2>/dev/null
Recherchez les web shells, les backdoors PHP et les fichiers modifiés récemment dans les répertoires web. Vérifiez l'intégrité des paquets système avec dpkg ou rpm.
$ find /var/www -name "*.php" -newer /var/www/index.php -type f
$ grep -rl "eval(base64_decode" /var/www 2>/dev/null
$ dpkg -V 2>/dev/null || rpm -Va 2>/dev/null
Supprimez les fichiers malveillants, tuez les processus, supprimez les crontabs et les clés SSH non autorisées. Changez tous les mots de passe. Mettez à jour tous les paquets. Puis installez un outil de protection continue pour éviter que cela ne se reproduise.
$ kill -9 <PID_suspect>
$ rm -f /tmp/fichier_malveillant
$ passwd root
$ apt update && apt upgrade -y
$ curl -fsSL https://defensia.cloud/install.sh | sudo bash
Les 5 étapes ci-dessus demandent du temps, de l'expérience et une vigilance constante. Defensia automatise la majorité de ces vérifications et les exécute en continu.
64 000+ signatures hash et 684 patterns dynamiques. Détecte les backdoors PHP, cryptomineurs, reverse shells, web shells. Quarantaine automatique des fichiers détectés.
Identifie les cryptomineurs en cours d'exécution, les reverse shells actifs et les scripts suspects dans /tmp. Alertes en temps réel quand un processus malveillant démarre.
Compare les fichiers système installés avec les signatures des paquets (dpkg -V / rpm -Va). Détecte les modifications non autorisées des binaires système.
Vérifie les fichiers .env lisibles par tous, les répertoires .git exposés, les permissions SSH incorrectes et les credentials cloud en clair. Conforme aux recommandations ANSSI.
Vérifie /etc/ld.so.preload, les processus cachés et les exécutables dans /tmp. Détecte les techniques de persistance courantes des rootkits Linux.
Note de A à F basée sur tous les indicateurs de sécurité. Vous voyez immédiatement si votre serveur est sain après le nettoyage — et vous êtes alerté si quelque chose change.
L'agent s'installe en moins de 30 secondes. Le premier scan malware démarre automatiquement. Vous verrez les résultats dans votre dashboard en temps réel.
Nettoyer un serveur piraté prend des heures. Empêcher l'intrusion ne prend que quelques minutes. Voici les mesures de prévention essentielles.
| Mesure de prévention | Manuel | Defensia |
|---|---|---|
| Protection brute-force SSH | Configurer fail2ban | ✓ |
| WAF pour applications web | ModSecurity + CRS | ✓ |
| Scanner malware planifié | ClamAV + cron | ✓ |
| Détection de rootkit | rkhunter + chkrootkit | ✓ |
| Scan CVE des paquets | Suivi manuel des advisories | ✓ |
| Monitoring temps réel | Prometheus + Grafana | ✓ |
| Alertes instantanées | Scripts personnalisés | ✓ |
| Géoblocage par pays | iptables + GeoIP manuel | ✓ |
Que votre serveur piraté soit chez OVHcloud, Scaleway, Gandi, Infomaniak ou n'importe quel autre fournisseur, Defensia fonctionne partout où Linux tourne avec systemd et iptables.
Les signes les plus courants sont : CPU à 100 % sans raison, des processus inconnus dans /tmp ou /dev/shm, des clés SSH inconnues dans authorized_keys, des crontabs modifiées, des connexions sortantes vers des IP suspectes et des fichiers PHP récemment modifiés dans les répertoires web. Defensia vérifie tous ces indicateurs automatiquement et en continu.
Cela dépend de la gravité de la compromission. Si un rootkit a été installé ou si les binaires système ont été modifiés, une réinstallation est la seule option sûre. Pour une web shell ou un cryptomineur, un nettoyage ciblé suivi de l'installation de Defensia est généralement suffisant.
ClamAV est un scanner de fichiers généraliste. Defensia combine un scanner malware spécialisé (64 000+ signatures spécifiques aux serveurs web), la détection de processus malveillants, la vérification d'intégrité système, le scan des credentials exposés, la détection de rootkit et la protection SSH/WAF en temps réel. Le tout avec moins de 30 Mo de RAM.
Si des données personnelles ont été compromises, le RGPD vous oblige à notifier la CNIL dans les 72 heures (article 33). Documentez l'incident, les données affectées et les mesures prises. Defensia fournit un journal d'événements horodatés qui peut servir de preuve.
Gratuit pour 1 serveur : protection SSH, dashboard temps réel, flux d'événements. Plan Pro : 9 euros par serveur par mois (7 euros en facturation annuelle). Le Pro inclut le scanner malware, WAF, scan CVE, géoblocage, gestion des bots et alertes.
Installez Defensia maintenant. Scanner malware, détection SSH, WAF et monitoring — activés en 30 secondes.
Aucune carte bancaire requise.