ось Mandarakre 9, ядро 2.4.19-16mdk
вобщем несколько дней назад (был откоючен файрвол) с сервера
была удалена samba. В логах я нашел следующее:Mar 5 CROND[24497]: (root) CMD (killall -9 smbd >/dev/null 2>&1)
Mar 5 04:10:00 82 syslogd: Printing partial message
Mar 5 04:10:00 82 78>Mar 5 04:10:00 CROND[24499]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Sventevith >/dev/null 2>&1)
Mar 5 04:10:00 82 last message repeated 2 times
Mar 5 04:10:00 82 syslogd: Printing partial message
Mar 5 04:10:00 82 78>Mar 5 04:10:00 CROND[24501]: (tupac) CMD (cd /home/tupac/irssi; ./pppd Mordor >/dev/null 2>&1)
Mar 5 04:10:00 82
Mar 5 04:10:00 82 syslogd: Printing partial message
Mar 5 04:10:00 82 78>Mar 5 04:10:00 CROND[24503]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Anorexia >/dev/null 2>&1)были созданы пользователи stalin и tupac, в домашних каталогах которых помещен бинарник pppd
никакого другого вреда я не обнаружил.
подобный случай уже происходил однажды, т.е. samba уже удаляли.Кто-нибудь с таким встречался?
Каким образом осуществлена эта атака и, что лучше сейчас сделать.
Ключевое слово - CRONDСмотри какие задания в cron поставлены.
P.s. Cron - аналог планировщика задач в Windows