Здравствуйте.
В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, в файле nv.txt записана фраза ninja virus. ps выдает с десяток процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data
rkhunter при проверке сыпет такого рода сообщения: Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /dev/.blkid.tab: ASCII text
Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
/sbin/runlevel [ Warning ]
Warning: The file properties have changed:
File: /sbin/runlevel
Current inode: 6160532 Stored inode: 6160555
Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)
/sbin/init [ Warning ]
Warning: The file properties have changed:
File: /sbin/init
Current hash: f98af87321ed9f4043b9b8bc84f4f101dfe84b15
Stored hash : 4dab14f8c22b62ce0d641a45f51262e153c5a849
Current inode: 6160514 Stored inode: 6160551
Current size: 167192 Stored size: 163096
Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)
Warning: The file properties have changed:
File: /usr/bin/who
Current inode: 28051920 Stored inode: 28061778
Current file modification time: 1353363916 (20-нояб.-2012 01:25:16)
Stored file modification time : 1349148219 (02-окт.-2012 06:23:39)
а chkrootkit выдает следующее:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
uname -a:
Linux xxx.yyy 3.2.0-33-generic #52-Ubuntu SMP Thu Oct 18 16:29:15 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
Подскажите, можно ли очистить систему, или нужна полная переустановка? никогда раньше с таким не сталкивался
Версия для распечатки
вирус ninjavirus, 
demon.molo, 16-Мрт-13, 20:21 [смотреть все]
