Вирусы на сервере

Переставить ОС - вернее всего, вынеся нужные данные в надёжное место, главное, не спешить и проверить всё 3 раза.

не могу понять откуда стартует

ls -l /proc/$PID/exe

Это может не помочь, всему тулчайну доверия уже нет, и ls в том числе.

Откуда стартует уже не важно, фиксить ТОЛЬКО переустановкой, с нуля или с чистого бекапа. Тебе ведь результат важен - чистая система, а не процесс. Фиксить скомпрометированную систему из неё самой - бред полный.

Взлетай с внешнего чистого носителя и восстанавливайся. ФС скомпрометированной системы можешь сохранить в образ и поизучать на досуге, например сравнив внешними утилитами контрольные суммы программ на атакованной системе и заведомо чистой. Так и выяснишь, что тебе подменили и, если взломщик недоработал или забил, как...

Блин точно, спасибо.

за совет конечно благодарю. Но переустановка не самый быстры процесс в данной ситуации. Вирусню почистил, закрались скрипты в автозагрузку. Теперь можно будет спокойно ночью переустановить, а сайтец пока доработает оставшийся день.

Раз это вэб, то вангую через него и пробрались... на уже переустановленном рекомендую установить все обновы если их не было, разобраться с самим сайтом/настройками-сервера, а то так и будете через день переустановкой заниматься.

Сначала убей всю вирусню, затем переустанови все пакеты и обнови. Так же поищи скрипты.

Разбирал когда-то похожий случай, там среди зараженных бинарей были ps и top. Вот «почистил» ты систему, ребутнулся, запустил ps - где ручки? А вот они! Так что правильно советуют, скомпрометированную систему только в реинсталл (возможно, даже, с перепрошивкой).

Вирусню почистил, закрались скрипты в автозагрузку.
а сайтец

Под каким юзером ? Если рута не получили, то, может, и не надо переустанавливать. Хотя, чтобы достоверно про это узнать, тоже стоит с какого-нибудь LiveCD грузиться.

что за дистр? centos?

ubuntu