>ага, или perl-including, через дырявые скрипты вообщем.
>тока вот проблема найти через какой именно!
>кол-во сайтов на сервере * кол-во скриптов = ппц Могу посоветовать закрыть фаерволлом исходящие соединения с этого сервера (все, а не только на 6666-6669) - что бы зараза сама себя не докачивала. Если там только Апач, то ему исходящие нафик не нужны. Разрешить только входящие, и этого будет достаточно для его нормальной работы. Если нужно взаимодействие с сервером БД - разрешить исходящие на него, но не более того.
Ну и с учётом необходимости установления исходящих соединений в административных целях... Здесь уж Вам виднее что Вам необходимо, а что - нет.
Далее - /tmp смонтируйте с опцией noexec, /var/tmp - залинкуйте на /tmp - это чтоб не було возможности ничего оттуда запускать. То же самое можно сделать и с /home, если нет необходимости запускать CGI сценарии.
Если не удаётся найти заразу с помощью grep, то, возможно, скрипт удаляет свой файл сразу после запуска. Тогда ловить действительно бесполезно. В Линуксе можно узнать из какого файла запущен процесс через псевдо-файловую систему /proc:
ronin@athlon:~$ !ps
ps -eaf|grep -i firefox
ronin 4059 3384 0 11:58 ? 00:00:00 ksystraycmd /usr/local/bin/firefox
ronin 4060 4059 0 11:58 ? 00:00:00 /bin/bash /usr/local/bin/firefox
ronin 4061 4060 6 11:58 ? 00:05:16 /usr/local/firefox-3.5.6/firefox-bin
ronin 4758 3947 0 13:15 pts/43 00:00:00 grep -i firefox
ronin@athlon:~$ ls -al /proc/4061/exe
lrwxrwxrwx 1 ronin ronin 0 2010-07-01 13:15 /proc/4061/exe -> /usr/local/firefox-3.5.6/firefox-bin
ronin@athlon:~$
Как с этим в FreeBSD - не знаю, там таким не пользовался, но, возможно, тоже прокатит.
А вот то, что файлы создаются с владельцем root - это очень плохо. Я на 80% уверен, что поимели root-аккаунт, и лечиться уже бесполезно, необходимо сносить систему и ставить с ноля (и настраивать секурити получше); или же подменили бинарник апача (он стартует от рута; в этом случае надо переинсталлировать апач и убедиться что он нормально защищён - нельзя перезаписывать файл самого демона).
respect,
ronin