http://ifolder.ru/604528

 Несколько дней назад был замечен аномально большой трафик по udp.
Разбор полетов показал следующее:


[root@www httpd]# lsof |grep 12159
[httpd]   12159 apache  cwd    DIR     130,32     1024  22773859 /tmp/...
[httpd]   12159 apache  rtd    DIR     130,32     1024  64299089 /
[httpd]   12159 apache  txt    REG     130,32   612470  22773863 /tmp/... /[httpd]
[httpd]   12159 apache    0u  IPv4   86945779                TCP mysite1.ru:58139->ede.nl.eu.undernet.org:ircd (ESTABLISHED)
[httpd]   12159 apache    3u  IPv4      19070                TCP *:http (LISTEN)
[httpd]   12159 apache    4r  FIFO      130,5            1212635 pipe
[httpd]   12159 apache    5w  FIFO      130,5            1212635 pipe
[httpd]   12159 apache    6u   REG     130,32   108749  12640358 /var/log/httpd/error_log
[httpd]   12159 apache    7u   REG     130,32      248  23838748 /home/webadmin/mysite2.ru/error_log
[httpd]   12159 apache    8u   REG     130,32      128  24936449 (deleted) /home/webadmin/mysite3.ru/error_log.1
[httpd]   12159 apache    9u   REG     130,32     2234  63201402 /home/webadmin/mysite1.ru/error_log
[httpd]   12159 apache   10u   REG     130,32        0  57688162 /home/webadmin/mail.mysite1.ru/error_log
[httpd]   12159 apache   11u   REG     130,32   374954  29262047 /home/pubmysite1/new.mysite1.ru/error_log
[httpd]   12159 apache   12w   REG     130,32      840  12640347 /var/log/httpd/access_log
[httpd]   12159 apache   13w   REG     130,32     2156  23838761 /home/webadmin/mysite2.ru/access_log
[httpd]   12159 apache   14w   REG     130,32     1174  24936478 /home/webadmin/mysite3.ru/access_log
[httpd]   12159 apache   15w   REG     130,32    11378  63201449 /home/webadmin/mysite1.ru/access_log
[httpd]   12159 apache   16w   REG     130,32        0  57688144 /home/webadmin/mail.mysite1.ru/access_log
[httpd]   12159 apache   17w   REG     130,32 10450969  29262055 /home/pubmysite1/new.mysite1.ru/access_log
[httpd]   12159 apache   18w   REG     130,32    11378  63201449 /home/webadmin/mysite1.ru/access_log
[httpd]   12159 apache   19u  sock      130,3              22784 can't identify protocol
[httpd]   12159 apache   20u  sock      130,3            1212653 can't identify protocol
[httpd]   12159 apache   21u  sock      130,3            1999093 can't identify protocol
[httpd]   12159 apache   22r   REG     130,32     5611  41468183 /var/www/html/phpAdsNew/st.php
[httpd]   12159 apache   23u  unix 0x8eb9cdc0            1999050 socket
[httpd]   12159 apache   24u  unix 0xde9deee0            2353149 socket
[httpd]   12159 apache   25u  IPv4    2353162                TCP *:2345 (LISTEN)
[httpd]   12159 apache   26u  IPv4    2388644                UDP *:34047
[root@www httpd]#

[root@www root]# ls -lah /tmp/...\ /
total 825K
drwxr-xr-x    3 apache   apache       1.0K Sep 12 05:00 .
drwxrwxrwt    8 root     root          29K Sep 17 11:48 ..
-rw-r--r--    1 apache   apache        189 Sep 17 11:00 1
-rw-r--r--    1 apache   apache        13K Sep 17 11:40 Ovidiu.seen
-rwx------    1 apache   apache       598K Apr 21 02:49 [httpd]
-rwxr-xr-x    1 apache   apache       166K Sep 12 04:04 pico
drwxr-xr-x    2 apache   apache       1.0K Feb 23  2005 randfiles
-rw-r--r--    1 apache   apache       1.0K Sep 17 11:00 raw.levels
-rw-------    1 apache   apache          6 Sep 12 04:04 raw.pid
-rw-r--r--    1 apache   apache        622 Sep 17 11:00 raw.session
-rw-r--r--    1 apache   apache       2.3K Apr 21 02:50 raw.set
-rwxr-xr-x    1 apache   apache        160 Mar  8  2005 shit
[root@www root]#

содержимое /tmp/...\ / можно посмотреть здесь : http://slil.ru/23131394
пароль: linux

Я все удалил, в iptables все прикрыл - пока тихо.
Вопрос - что это такое: udp-proxy управляемый по irc?
Могло ли оно получить рутовые права?
На сайте крутится Apache+PHP+MySQL не первой свежести и битрикс до кучи.
Что крутить в первую очередь, чтобы не было рецидива?

Фины рулят, а Дима №блан не очень ))