Протроянили машину

To: debian-russian <debian-russian@lists.debian.org>
Subject: Протроянили машину
From: Sergey Kharlamov <mentax@gmail.com>
Date: Wed, 1 Jul 2009 08:31:27 -0400
Message-id: <[🔎] e1219c60907010531r62e27af8oc13d31195e3a6a38@mail.gmail.com>

Добрый день Уважаемые!
Спешу к вам с вопросом: вчера машинка на debian lenny стала странно
себя вести - отправляла на определенный ip адрес туеву хучу пакетов и
тем самым забивала весь канал этим. Через route add -host xx.xx.xx.xx
reject добавил тот хосто в список игнорируемых. На следующиц день это
повторилось,но ip адрес был другой. iptraf показывает что идет udp
пакет по 43 кб. Netstat говорит что  udp  0  0 172.16.0.2:43747
208-65.ip.compton.net:www ESTABLISHED
да, еще в процессах какой то процесс странный есть:

 5691 ?    R    976:31    ./s 208.74.208.65 80

посмотрел в /proc/номер процесса/
там находится странные папки и файлы -
 ls -la
итого 6300
drwxr-xr-x  7 root   root      4096 Июл  1 11:58 .
drwxr-xr-x 13 mentax mentax    4096 Июл  1 18:09 ..
drwxr-xr-x  2 root   root      4096 Июл  1 11:57 attr
-rw-------  1 root   root       144 Июл  1 11:57 auxv
-rw-------  1 root   root         0 Июл  1 11:57 cgroup
-rw-------  1 root   root        21 Июл  1 11:57 cmdline
-rw-------  1 root   root         9 Июл  1 11:57 coredump_filter
-rw-------  1 root   root         2 Июл  1 11:57 cpuset
lrwxrwxrwx  1 root   root        15 Июл  1 11:57 cwd -> /dev/shm/. /...
-rw-------  1 root   root       136 Июл  1 11:57 environ
lrwxrwxrwx  1 root   root        17 Июл  1 11:57 exe -> /dev/shm/. /.../s
drwx------  2 root   root     20480 Июл  1 11:57 fd
drwx------  2 root   root     20480 Июл  1 11:57 fdinfo
-rw-------  1 root   root        94 Июл  1 11:57 io
-rw-------  1 root   root      1323 Июл  1 11:57 limits
-rw-------  1 root   root        10 Июл  1 11:57 loginuid
-rw-------  1 root   root       782 Июл  1 11:57 maps
-rw-------  1 root   root       926 Июл  1 11:58 mountinfo
-rw-------  1 root   root       740 Июл  1 11:58 mounts
-rw-------  1 root   root       821 Июл  1 11:58 mountstats
drwxr-xr-x  5 root   root      4096 Июл  1 11:57 net
-rw-------  1 root   root         2 Июл  1 11:58 oom_adj
-rw-------  1 root   root         2 Июл  1 11:58 oom_score
-rw-------  1 root   root   6291456 Июл  1 11:58 pagemap
lrwxrwxrwx  1 root   root         1 Июл  1 11:57 root -> /
-rw-------  1 root   root       718 Июл  1 11:58 sched
-rw-------  1 root   root        10 Июл  1 11:58 sessionid
-rw-------  1 root   root      4058 Июл  1 11:58 smaps
-rw-------  1 root   root       195 Июл  1 11:58 stat
-rw-------  1 root   root        21 Июл  1 11:58 statm
-rw-------  1 root   root       714 Июл  1 11:58 status
drwxr-xr-x  3 root   root      4096 Июл  1 11:57 task
-rw-------  1 root   root         1 Июл  1 11:58 wchan



Вот такое вот безобразие...
Как бороться с этим????

Reply to:

Follow-Ups:
- Re: Протроянили машину
  - From: Павел Марченко <bblrlo@gmail.com>
- Re: Протроянили машину
  - From: Mikhail A Antonov <bart@solarnet.ru>

Prev by Date: mf626
Next by Date: Re: mf626
Previous by thread: Re: mf626
Next by thread: Re: Протроянили машину
Index(es):
- Date
- Thread