Взломали пароль пользователя

> Сам человек ломал или какой вирус?

если остались следы в bash_history, то это был интерактивный шелл, то есть человек. Да ещё и не очень старающийся скрыть свои действия, такое палево оставил

> И что за повторения «httpd»?

скачал архив, распаковал, перешёл в распакованный каталог, запустил из него httpd. Видимо, тебе надо прибить этот процесс ))))

> Скажите, мог ли хакер получить доступ к папкам, расположенным выше своей?

Похоже, что он тебе оставил полный список всего, что он сделал

кстати, скачай, посмотри, что за архивчик он запускал

Смени пароль и перезагрузись (поубивай httpd процессы)

Там какой-то Бот (FloodBot)

ненене! дизассемблируй бота, перепиши код и захвати ботнет.

судя по всему этот ксакеп понимает в Linux не многим больше твоего, и я бы не слишком беспокоился: вот это ещё имеет какой-то смысл (и то, если запущено один раз или не из командной строки а из скрипта)

cd mc-root ; chmod +x * ; PATH="." ; httpd

cd mc-root
chmod +x *
PATH="."
httpd
cd
rm -rf mc-root

ненене! дизассемблируй бота, перепиши код и захвати ботнет.

Не учи детей плохому! :D

Отчего же. Вполне себе сработает

$ mkdir mc-root
$ cd mc-root
$ echo '#!/bin/sh' > 1
$ echo 'echo test' >> 1
$ chmod +x *
$ PATH='.'
$ 1
test

Перезагрузил, удалил пользователя ftp вместе с домашним каталогом.
Создал нового с оболочкой /sbin/nologin и сложным паролем.
Вот только все еще не решил, стоит ли восстанавливать с образа...

>если остались следы в bash_history, то это был интерактивный шелл, то есть человек.

Совсем не обязательно.

man expect, например.

pupok> работать просто не может.
Тебя смущает удаление директории при запущенной из нее (директории) программы?

А чему тут смущаться. В данном случае httpd - демон. Он один фиг отвязывается от терминала и ему всё равно - удалили или нет его исполняемый файл.

после PATH='.' невстроенные в bash команды типа cd и rm работать не будут.

пардон, «cd» — встроенная. Но идея понятна :)

httpd лежит в архиве

> man expect, например.

$ man expect
Ничего про expect в руководстве нет

Полагаю, у ТС-а то же самое будет.

> Тебя смущает удаление директории при запущенной из нее (директории) программы?

его смутило то, что после PATH="." работают команды cd и rm. Я даже не сразу понял, почему его это смутило — настолько привык к тому, что они встроенные в баш

Стандартно подпихнут модифицированный вебсервер. Но вобще любопытный архивчик.

$ tar xzf FLood.tgz
$ cd mc-root/
$ ls
1 b b2 c4 f f4 h httpd j j2 Luana.seen mech.help mech.levels mech.pid mech.set s sl start.sh std stream tty usr v2 x
$ ldd httpd
   linux-gate.so.1 => (0xf77d3000)
   libc.so.6 => /lib32/libc.so.6 (0xf7656000)
   /lib/ld-linux.so.2 (0xf77d4000)

Ну да, это может быть вобще бинарник не вебсервера, просто с аналогичным названием. Поковырять, что ли :-)

центос - 2.6.18-194.3.1.el5
man expect есть

убунта - 2.6.24-27-generic
man expect есть

а где нет та?

> смутило то, что после PATH="." работают команды cd и rm

ещё больше смутило то, что после того как система очевидно перестала отвечать на команды злоумышленника он упорно продолжал их повторять видимо в надежде что компьютер сжалится :)

Может быть стоит сначала поставить этот самый expect?

Скажите, мог ли он что-либо модифицировать вне своей директории?

глядя на первое сообщение и версию ОС/ядра (а это последнее в рхеле/центосе - и сплойты под них как то особо не распостранены) + если своевременно обновлялся софт + не было каких либо самодельных дыр в системе безопасности типа 777 на /etc - то ничего с системными файлами , конфигами или какой либо критичной информацией , не случилось....
но он имел полный доступ по ссх
соответственно мог повесить какие либо демоны на верхних портах.
ps aux |grep имя_того_юзера
ну и закилить их...
для параноиков можно ребут

> Может быть стоит сначала поставить этот самый expect?

так я и говорю, что он у ТС'а скорее всего не установлен

> А чему тут смущаться. В данном случае httpd - демон

это вовсе не httpd, а бинарь флуд-бот, который в выводе ps и top должен «косить» неприметно под apache.
встречал такое на криво настроенных клиентских VDS, где разрешено запускать бинари из клиентских хомяков.

> а где нет та?

В единственно правильном дистрибутиве, например, нет ничего, что сам не установишь. Можно даже крон не ставить. Если у тебя отключены аватарки, то единственный правильный дистрибутив — это gentoo.

не, ну если бы некий больной вдруг захватил мою единственную вендовую машину, я б не упустил возможности запойзонить ботсетку.

ОС топикстарера можно легко угадать по выложеному им uname -r
и это ынтерпрайз, а не «ололо я компелировал всю ночь и теперь офис работает на 0.01% быстрее»

> а где нет та?

К примеру, у меня на работе:

cat /etc/redhat-release
Scientific Linux SL release 5.5 (Boron)

rpm -q expect
пакет expect не установлен

Или у меня же дома:

cat /etc/redhat-release
Fedora release 13 (Goddard)

man expect
Ничего про expect в руководстве нет

Кстати, авторизация на ftp-сервере отражается в /var/log/auth.log? Погрепай по юзеру ftp, глянь когда это произошло. В архиве лежал скриптик start.sh

/#bin/bash
PATH="."
httpd
echo «Enjoy FloodBot based on OverKill»

Почему бы всего навсего его не запустить было? :)

Ща на виртуалке попробую :)

> Скажите, мог ли он что-либо модифицировать вне своей директории?

От рута запусти rpm -Va | less и посмотри, менялись ли системные файлы, и если да, то как

Все! Это только переустановка! =)

И что за хэккеры пошли, историю им почистить влом.

httpd это Enerymech irc bot http://www.energymech.net/