tai vat sitas shudas /var/tmp/vi.recover/sshd

ir yra tavo zombis/trojanas ar kaip pavadinsi. o jo pavadinimas sshd - tik
klaidinimas.  jei tai ELF binary failas ne koks perlo skriptas, tai chrien
zino ka jis ten daro.

paprastai patenkama per visokius php bugovus saitus.
problemos nepasalinsi taip tik istrynes ir perkroves serveri, vel ikis tau
ja. reikia iskoti skyliu.



Idomu wrote:

> Na va "Aruli"
>> ls -l /proc/9858/exe
> lrwxrwxrwx  1 apache apache 0 Oct 15 12:58 /proc/9858/exe ->
> /var/tmp/vi.recover/sshd:
> bet cia susikuria faila, kai bando jungtis, taip juk ir turi buti mano
> nuomone...?"arulis" <aruliss@gmail.com> wrote in message
> news:i995d5$9bt$1@trimpas.omnitel.net...> na pvz
>> ls -l /proc/2761/exe
>> lrwxrwxrwx 1 root root 0 2010-10-15 12:33 /proc/2761/exe ->
>> /sbin/mingetty
>>
>>
>> gali buti kad failas paleistas, o jo pacio jau nebera (istrintas), bet
>> linka
>> turi rodyti (bus deleted uzrasas)
>>
>> taip pat cwd linkas, is kurios dir paleista pamatysi
>>
>>
>>
>>
>>
>> Idomu wrote:
>>
>>> na uzejau i /proc ten susiradau pagal 27784 ir matau exe stoviu, o linko
>>> negaliu paziureti, nes ssh neveikia, cia is serveriai.lt per webmina
>>> ziuriu file manager ir command shell, tik jei naudojuosi, o ssh netinka
>>> slaptazodis, tai nezinau kaip linka paziureti..... :(
>>> o /tmp nestovi sshd zinok.. cia tik .ICE-unix ir .webmin....
>>> pasiklydes as problemos issprendime, gal Jus "Aruli" galite dar kazka
>>> man galite pagelbeti...?
>>>
>>> "arulis" <aruliss@gmail.com> wrote in message
>>> news:i994iu$7uq$1@trimpas.omnitel.net...
>>>> arulis wrote:
>>>>
>>>>>> tcp 0 1 www.xxx.xxx:42836 www.irrp.org.ua:ircd
>>>>>> SYN_SENT 20227/sshd:
>>>>
>>>> eini i /proc/20227 - ten ieskai koks linkas veda i "exe" ,  kas cia per
>>>> sshd - greiciausiai koks skriptas paleistas per apachiu . sshd cia
>>>> matyt neprieko , bus koks /tmp/sshd pakistas per apachiu .
>>>>
>>>>
>>