https://www.opennet.ru/openforum/vsluhforumID10/5137.html Здравствуйте.<br>В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, в файле nv.txt записана фраза ninja virus. ps выдает с десяток процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data<br>rkhunter при проверке сыпет такого рода сообщения:<br><br> Checking /dev for suspicious file types [ None found ]<br> Checking for hidden files and directories [ Warning ]<br> Warning: Hidden directory found: /etc/.java<br> Warning: Hidden directory found: /dev/.udev<br> Warning: Hidden file found: /dev/.blkid.tab: ASCII text<br> Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text<br> Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'<br><br> /sbin/runlevel [ Warning ]<br> Warning: The file properties have changed:<br> File: /sbin/runlevel<br> Current inode: 6160532 Stored inode: 6160555<br> Current file modification time: 1358525291 (18-янв.-2013 19:08:11)<br> Stored file mod https://www.opennet.ru/openforum/vsluhforumID10/5137.html#5 Thu, 21 Mar 2013 23:21:06 GMT &gt;&gt; Мое личное мнение - наиболее безопасно было бы полностью установить систему.<br>&gt; ПЕРЕустановить, конечно же.<br><br>буду переустанавливать<br> https://www.opennet.ru/openforum/vsluhforumID10/5137.html#4 Sun, 17 Mar 2013 07:17:06 GMT &gt; Мое личное мнение - наиболее безопасно было бы полностью установить систему. <br><br> ПЕРЕустановить, конечно же.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5137.html#3 Sun, 17 Mar 2013 07:16:25 GMT &gt; все-таки подозреваю, что меня хакнули. при блокировке входящего трафика с подозрительных <br>&gt; адресов на сервер счетчики просто сходят с ума.<br>&gt; к тому же измененные хэши важных файлов для системы (dpkg, init и <br>&gt; пр.) наводят на размышления...<br><br> Мое личное мнение - наиболее безопасно было бы полностью установить систему. Ввиду того, что Вы просто можете что-то не углядеть, не заметить. Разумеется, для облегчения работы нужно сохранить конфиги и прочую важную информацию. Ну а так.... Вполне возможно, что удастся и каким-либо образом "починить" систему. Как говорят господа-американцы "It depends". Ну где-то так, наверное. ;)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5137.html#2 Sat, 16 Mar 2013 20:58:55 GMT &gt; Не факт, что это не баг chrootkit. Вот, например - http://askubuntu.com/questions/25176/chkrootkit-says-sbin-init-is-infected-what-does-that-mean <br>&gt; И тут - http://unixforum.org/index.php?showtopic=118736 Так что не горячитесь. :) <br><br>все-таки подозреваю, что меня хакнули. при блокировке входящего трафика с подозрительных адресов на сервер счетчики просто сходят с ума.<br>к тому же измененные хэши важных файлов для системы (dpkg, init и пр.) наводят на размышления...<br> https://www.opennet.ru/openforum/vsluhforumID10/5137.html#1 Sat, 16 Mar 2013 17:02:54 GMT Не факт, что это не баг chrootkit. Вот, например - http://askubuntu.com/questions/25176/chkrootkit-says-sbin-init-is-infected-what-does-that-mean И тут - http://unixforum.org/index.php?showtopic=118736 Так что не горячитесь. :)<br>