Mi servidor debian fue explotado por algún scriptiekiddie que usó Newbie3viLc063 enlace . Scriptkiddie cargó logo_php.png en mi servidor (Mis permisos fue una mierda: s) y lo ejecutó como archivo php.
Y tengo pocas preguntas:
¿Cómo puedo eliminar / bloquear backdoor lo que hizo? Bloqueé el puerto 55555 (el script lo usó), eliminé el archivo .php, cambié la contraseña del usuario root / www. También busqué en los archivos .cpp y en todos los archivos que tienen permiso 777/755 (buscar / -mtime -40 -type f -perm 755. (ese comando encontró algunos archivos de / usr / bin)
Por cierto, el atacante falló de alguna manera, porque encontré su archivo (logo_php_png) en la carpeta de subidas, de alguna manera parece que es bastante estúpido dejar ese archivo allí ...: D)
Y ejecuté rkhunter, aquí está el registro: enlace No estoy seguro de cómo debería reaccionar a esas advertencias, leí que esos pueden ser falsos positivos.