El servidor web Apache como medida de seguridad renuncia a sus privilegios de sistema y se ejecuta como un usuario normal sin privilegios antes de aceptar clientes a través de una red. Mi pregunta es
Porque el contexto de www-data es mucho menos privilegiado que el de root. Por ejemplo, como usuario root, puede modificar muchos más archivos de configuración, agregar o eliminar usuarios, leer carpetas protegidas, etc ...
Como www-data no puede hacer esto, por lo que incluso cuando se explota, el atacante solo puede usar todos los recursos y archivos disponibles para www-data. Esto ayuda a contener el ataque (obviamente, la escalada de privilegios no se puede detener si existen vulnerabilidades).
Lea otras preguntas en las etiquetas malware webserver apache privilege-escalation