Здравствуйте.
В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, в файле nv.txt записана фраза ninja virus. ps выдает с десяток процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data
rkhunter при проверке сыпет такого рода сообщения:

   Checking /dev for suspicious file types         [ None found ]
   Checking for hidden files and directories       [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /dev/.blkid.tab: ASCII text
Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

   /sbin/runlevel                                  [ Warning ]
Warning: The file properties have changed:
          File: /sbin/runlevel
          Current inode: 6160532    Stored inode: 6160555
          Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
          Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)

   /sbin/init                                      [ Warning ]
Warning: The file properties have changed:
          File: /sbin/init
          Current hash: f98af87321ed9f4043b9b8bc84f4f101dfe84b15
          Stored hash : 4dab14f8c22b62ce0d641a45f51262e153c5a849
          Current inode: 6160514    Stored inode: 6160551
          Current size: 167192    Stored size: 163096
          Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
          Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)

Warning: The file properties have changed:
          File: /usr/bin/who
          Current inode: 28051920    Stored inode: 28061778
          Current file modification time: 1353363916 (20-нояб.-2012 01:25:16)
          Stored file modification time : 1349148219 (02-окт.-2012 06:23:39)

а chkrootkit выдает следующее:
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED

uname -a:
Linux xxx.yyy 3.2.0-33-generic #52-Ubuntu SMP Thu Oct 18 16:29:15 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

Подскажите, можно ли очистить систему, или нужна полная переустановка? никогда раньше с таким не сталкивался

• вирус ninjavirus,Дядя_Федор, 21:02 , 16-Мрт-13
  • вирус ninjavirus,demon.molo, 00:58 , 17-Мрт-13
    • вирус ninjavirus,Дядя_Федор, 11:16 , 17-Мрт-13
      • вирус ninjavirus,Дядя_Федор, 11:17 , 17-Мрт-13
        • вирус ninjavirus,demon.molo, 03:21 , 22-Мрт-13

Не факт, что это не баг chrootkit. Вот, например - http://askubuntu.com/questions/25176/chkrootkit-says-sbin-in... И тут - http://unixforum.org/index.php?showtopic=118736 Так что не горячитесь. :)

> Не факт, что это не баг chrootkit. Вот, например - http://askubuntu.com/questions/25176/chkrootkit-says-sbin-in...
> И тут - http://unixforum.org/index.php?showtopic=118736 Так что не горячитесь. :)

все-таки подозреваю, что меня хакнули. при блокировке входящего трафика с подозрительных адресов на сервер счетчики просто сходят с ума.
к тому же измененные хэши важных файлов для системы (dpkg, init и пр.) наводят на размышления...

> все-таки подозреваю, что меня хакнули. при блокировке входящего трафика с подозрительных
> адресов на сервер счетчики просто сходят с ума.
> к тому же измененные хэши важных файлов для системы (dpkg, init и
> пр.) наводят на размышления...

Мое личное мнение - наиболее безопасно было бы полностью установить систему. Ввиду того, что Вы просто можете что-то не углядеть, не заметить. Разумеется, для облегчения работы нужно сохранить конфиги и прочую важную информацию. Ну а так.... Вполне возможно, что удастся и каким-либо образом "починить" систему. Как говорят господа-американцы "It depends". Ну где-то так, наверное. ;)

>  Мое личное мнение - наиболее безопасно было бы полностью установить систему.

ПЕРЕустановить, конечно же.

>>  Мое личное мнение - наиболее безопасно было бы полностью установить систему.
>  ПЕРЕустановить, конечно же.

буду переустанавливать