Ломанули, однако. Как ? И Как вычистить.

>>И може кто расскажет - как их ухитрились установить.
версии всех своих сетевых демонов в студию сразу скажут ))

>>Как с этим бороться?
очен полезно использовать утилиты типа tripwire или aide

>>При чистке - немогу удалить несколько файлов
lsattr посмотри что пишет

есть вариант запустить rpm с проверкой установленных пакетов и посмотреть что он еще нарисует

PS: лучше вообще не ставить ftp открытым на upload если в этом нет первой необходимости.

>>lsattr посмотри что пишет Пишет -u-ia-------. Че это такое и как это убрать?

>>версии всех своих сетевых демонов в студию сразу скажут )) Но Проблем. bind 9.1.0. - Порт 53 Pop 3 - Стороняя разработка (Антилинуксовыми средствами не ломатся)smtp - тоже самое. ftp-0.17-7 Телнет разрешен только с одного ip. перед этой бедой - Cisco - на которой запрещено из вне пускать с внутренним адресом. Все. Общий объем закачанного - порядка 4 Мб. Так что не по модему.

netstal -lpn и версии всего что там живет.

i - immutable, посмотри faq этого форума

PS. закрывать надо файрволом все неиспользуемые порты, чтобы не вешали левых демонов.

На сколько мне известно BIND 9.1 еще не сломали.
Что значит ftp 0.17-7 ? как именно называется ftp демон.
И сделай netstat посмотри какие порты открыты, хотя крякер мог и выключить пару сервисов чтоб больше никто в машину не лез.
И почему по модему не могли закачать 4 M очень даже могли.

Готов спорить на деньги что у тя старый ССХ - версию в студию.

Спасибо всем. Разобрался. Ломанули через FTP - 2.6.0. элементарным запуском сценария от rootа. Ну а далее итак понятно. Вот только Login ему менять не надо было.

FTP 2.6.0 - очевидно wu-ftpd ? делайте выводы, господа - более дырявой реализации ftpd что-то и не припомню :)