No estoy seguro de si esto puede indicar un servidor comprometido o si simplemente estoy siendo paranoico.
Mientras jugueteaba con Apache y Webmin en un nuevo servidor virtual Ubuntu 14.04 (así como los registros de DNS para su nuevo nombre de dominio), Apache se negó repentinamente a reiniciarse, con el siguiente mensaje:
(99)Cannot assign requested address: AH00072: make_sock: could not bind to address 54.201.82.69:80
no listening sockets available, shutting down
AH00015: Unable to open logs
Action 'start' failed.
The Apache error log may have more information.
Lo y he aquí, los ports.conf de Apache contenían lo siguiente:
Listen 8080
Listen 54.201.82.69:80
El puerto 8080 se puso allí deliberadamente para realizar pruebas, no mucho antes. La dirección IP seguida por el puerto 80 apareció de la nada. Tras la investigación, * .com.com se resuelve con esta IP, que parece ser un host de malware.
Por otra parte, parece al menos concebible que algún tipo de script o proceso automatizado (¿tal vez Webmin?) resolviera incorrectamente un nombre de host con un ".com" extra al final y, por alguna extraña razón, lo introdujera ports.conf. Además, si un intruso hubiera insertado maliciosamente esto, no tengo idea de lo que lograría.
El único otro programa que debería haberse metido con la configuración de Apache fue el webmail de roundcube, desde un repositorio oficial. No hay nadie más con acceso a este servidor. El registro de autenticación muestra una serie de intentos fallidos de inicio de sesión de SSH desde varias direcciones IP, en las varias horas que el servidor ha estado activo, pero ningún inicio de sesión exitoso que no sea el mío.
No sé si debo atribuir esto a algún error de configuración extraño o cambiar todas las contraseñas y comenzar a limpiar con un firewall restrictivo.