os: freebsd 6.3

Люди добрые, подскажите новичку:
Как выловить программу (троян) которая сидит на сервере и ддосит сеть провайдера?

В tcpdump видно периодически (сразу около 100 таких строк подрят):

00:53:56.177726 IP ххххххххххххх.33230 > ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 <mss 1460,nop,nop,sackOK>

netstat и sockstat ничего не показывают.
clamav и rootkit hunter тоже ничего ненашли.

Подскажите хотябы в какую сторону капать????
Заранее спасибо!!!

• Как обнаружить трояна?,Junior, 23:18 , 24-Июн-08
  • Как обнаружить трояна?,lazy, 00:20 , 25-Июн-08
    • Как обнаружить трояна?,О. Бендер, 07:18 , 25-Июн-08
      • Как обнаружить трояна?,vagif, 10:37 , 25-Июн-08
        • Как обнаружить трояна?,Andrey Mitrofanov, 10:49 , 25-Июн-08

>[оверквотинг удален]
>
>В tcpdump видно периодически (сразу около 100 таких строк подрят):
>
>00:53:56.177726 IP ххххххххххххх.33230 > ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 <mss 1460,nop,nop,sackOK>
>
>netstat и sockstat ничего не показывают.
>clamav и rootkit hunter тоже ничего ненашли.
>
>Подскажите хотябы в какую сторону капать????
>Заранее спасибо!!!

chkrootkit

>chkrootkit

он пишет:
Checking `date'... INFECTED

Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается.
как быть?

>>chkrootkit
>
>он пишет:
>Checking `date'... INFECTED
>
>Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается.
>
>как быть?

Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере думать, что инфицирован только один файл ..

>>он пишет:
>>Checking `date'... INFECTED
>>
>Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере
>думать, что инфицирован только один файл ..

а как он вообще на сервер может попасть?!

>а как он вообще на сервер может попасть?!

В. Деревянной. Лошади. $)