Взломали. Что делать?
 

Только что зашёл на свою машину через ssh и обнаружил, что последний сеанс был неизвестно откуда :-(
Вот последние выполненные команды (из history):
Первый вопрос: как? У меня нормальный пароль (10 случайных символов), сервисов никаких опасных вроде бы не запущено (но запущен iptables).
Правда я вчера запустил proftpd... Система конечно немного старовата -- FC5...
Второй вопрос: что делать?
С помощью этих команд, как я понял, мне залили фишинг страничку (её я уже удалил). Вопрос в том, что делать дальше?
Пароль сменил, proftpd остановил. Что ещё надо сделать?

Gangabass,

Обновления безопасности стоят?

Интересно, к машине еще кто-нибудь имеет доступ кроме тебя?

ИМХО, обновиться до последнего стабильного релиза всех пакетов, особенно все, что касается безопасности, поковырять машину спецсредствами

Проверить средствами rpm нет-ли левых файлов, посмотреть логи с целью нахождения логов взлома. Чаще всего взламывают через дырявые движки. Возможно так-же прослушивание ftp трафика (если нет тунелирования, пароли передаются в открытом виде).

На FTP я заходил только из локальной сети, так что прослушать было очень сложно.
На счёт дырявых движков надо будет посмотреть Nessus'ом.

Получается, что имеет ;-) Ну или имел.
На самом деле доступ был только у меня. Подключался я с трёх разных мест:
1. с работы, т. е. из внутренней сети. машина с Windows полностью пропатчена, установлен Kaspersky Internet Security со свежими базами. Т. е. версия трояна тут маловероятна.
2. из дома. машина с Windows подключена к домашней сети, патчи и антивирусные базу уже не такие свежие (всё руки никак не дойдут) -- примерно полуторомесячной давности.
3. из дома. машина с Windows, патчи для ОС двухмесячной давности, а для антивируса базы месячной давности.
Я конечно проверю все компьютеры на предмет программ-шпионов, но вряд ли что-то найду. Судя по всему взломали именно Linux-машинку.
Буду обновляться до FC7.