сервак начал жрать трафик немерено. во время этих приступов почти не пингуется и ссш не коннектится проверил clamscan
/home/backup/03-03-09/custom/var/spool/virtual.tar.gz: Spoofer.Midav FOUND
/home/backup/03-03-09/custom/var/spool/virtual.tar.gz: moved to '/home/infected///virtual.tar.gz'
/home/infected/virtual.tar.gz: Spoofer.Midav FOUND
File excluded '/home/infected/virtual.tar.gz'
/var/spool/virtual/.fl/v: Spoofer.Midav FOUND
/var/spool/virtual/.fl/v: moved to '/home/infected///v'
/var/tmp/mcroot.txt: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt: moved to '/home/infected///mcroot.txt'
/var/tmp/mcroot.txt.3: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.3: moved to '/home/infected///mcroot.txt.3'
/var/tmp/mcroot.txt.2: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.2: moved to '/home/infected///mcroot.txt.2'
/var/tmp/bb.tar: Spoofer.Midav FOUND
/var/tmp/bb.tar: moved to '/home/infected///bb.tar'
/var/tmp/mcroot.txt.4: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.4: moved to '/home/infected///mcroot.txt.4'
/var/tmp/.../v: Spoofer.Midav FOUND
/var/tmp/.../v: moved to '/home/infected///v.000'
/var/tmp/.../bb/v: Spoofer.Midav FOUND
/var/tmp/.../bb/v: moved to '/home/infected///v.001'
/var/tmp/bb.tar.1: Spoofer.Midav FOUND
/var/tmp/bb.tar.1: moved to '/home/infected///bb.tar.1'
/var/tmp/mcroot.txt.1: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.1: moved to '/home/infected///mcroot.txt.1'
/var/tmp/mcroot.txt.5: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.5: moved to '/home/infected///mcroot.txt.5'
поставил clamav-daemon но через некоторое время опять началось.
пытался через iftop -BP узнать что это но ссш отключло перед тем как он показал кто и куда ломанулся.. что делать..сам чайник в никсах, а потом по-возможности подробно
кажется нашол где он. папку переименовал, убрал атрибуты на исполнение. вопрос: как он туда залез и почему юзер апач? Apache 2.2.10, directadmin..YME001:/var/spool/virtual/.fl# ls -ls
total 696
4 -rwxr-xr-x 1 apache apache 74 2009-03-03 21:00 1
4 -rwxr-xr-x 1 apache apache 319 2009-02-22 04:07 autorun
12 -rwxr-xr-x 1 apache apache 8922 2006-01-24 08:18 b
20 -rwxr-xr-x 1 apache apache 19557 2005-05-10 07:50 b2
268 -rwxr-xr-x 1 apache apache 266463 2005-05-10 07:50 bang.txt
4 -rw-r--r-- 1 apache apache 56 2009-03-02 21:41 cron.d
12 -rwxr-xr-x 1 apache apache 8687 2006-01-24 09:12 f
16 -rwxr-xr-x 1 apache apache 14679 2005-11-03 08:28 f4
4 -rw-r--r-- 1 apache apache 23 2009-03-02 21:41 fl.dir
16 -rw-r--r-- 1 apache apache 13022 2009-03-03 10:55 FlooD.seen
4 -rw-r--r-- 1 apache apache 1915 2009-03-03 21:00 FLooD.seen
4 -rwxr-xr-x 1 apache apache 81 2006-08-17 06:40 fwd
156 -rwxr-xr-x 1 apache apache 152108 2001-06-01 14:15 httpd
12 -rwxr-xr-x 1 apache apache 10848 2005-05-29 23:17 j
16 -rwxr-xr-x 1 apache apache 13850 2005-05-29 23:23 j2
24 -rwxr-xr-x 1 apache apache 22983 2004-07-30 01:37 mech.help
4 -rwxr-xr-x 1 apache apache 1064 2009-03-03 21:00 mech.levels
4 -rwx--x--x 1 apache apache 5 2009-03-03 20:48 mech.pid
4 -rw-r--r-- 1 apache apache 199 2009-03-03 21:00 mech.session
4 -rwxr-xr-x 1 apache apache 448 2009-02-24 03:17 mech.set
4 -rwxr-xr-x 1 apache apache 67 2009-02-22 04:05 run
16 -rwxr-xr-x 1 apache apache 15078 2005-02-20 19:51 s
20 -rwxr-xr-x 1 apache apache 16776 2002-09-19 08:59 sl
4 -rwxr-xr-x 1 apache apache 16 2009-02-22 04:06 start
16 -rwxr-xr-x 1 apache apache 15195 2004-09-02 21:34 std
12 -rwxr-xr-x 1 apache apache 8790 2006-01-24 08:39 stream
8 -rwxr-xr-x 1 apache apache 7091 2006-01-24 08:25 tty
4 -rwxr--r-- 1 apache apache 202 2009-03-02 21:41 update
16 -rwxr-xr-x 1 apache apache 14841 2005-07-22 18:42 v2
4 -rwxr-xr-x 1 apache apache 915 2005-03-02 08:59 x
Потому что у вас дыра в вебе, причем с 90% вероятностью в пыховых скриптах. На вопрос как закрыть ответ простой: либо сами учитесь нормально программировать и администрировать либо нанимайте специалиста, последнее зачастую в конечном счете дешевле.
решение тут
http://forum.ru-board.com/topic.cgi?forum=65&topic=3246#8