DEDIBOX-NEWS.COM

Bonjour à tous

Voilà, je crois que je subis une tentative de piratage. J'ai retrouvé il y a peu un serveur IRC (eggdrop) caché sur un de mes sites webs. J'ai supprimé ce serveur, et j'ai mis à jour mon site web pour combler la faille utilisée.
Mais visiblement le pirate utilise aussi une autre faille, car je retrouve régulièrement des processus mystérieux :

www-data 28201  0.0  0.4 22096 4800 ?        S    18:19   0:00 /pitbull/

Si je comprends bien, un processus nommé pitbull s'exécute avec les droits www-data.
Lorsque je redémarre le serveur Apache, ce processus disparait, mais il revient quelques heures plus tars sous un autre nom. De plus, je ne trouve aucune trace sur le disque dur d'un fichier ou d'un répertoire nommé "pitbull"...

Pour finir, j'ai tout le temps ce genre de processus :

root     28182  0.0  0.7 21964 8064 ?        Ss   18:19   0:00 /usr/sbin/apache2 -k start
www-data 28187  0.0  0.9 25308 9828 ?        S    18:19   0:00 /usr/sbin/apache2 -k start
www-data 28190  0.1  1.4 29620 14400 ?       S    18:19   0:01 /usr/sbin/apache2 -k start

ces processus ont une durée de vie de quelques minutes, et reviennent en permanence, est-ce que c'est normal. Et est-ce qu'il est normal que le premier s'exécute en root et les autres en www-apache?

Merci pour votre aide.