A user sajnos nem valós személyé, hanem egy ideiglenesen létrehozott user, amit elfeledtem törölni. 🙁 Mint ideiglenes user, a jelszava is eléggé egyszerű volt … Néztem a futó processzek logját, és úgy tűnik, hajnalban sikerült belépnie, de csak 6 után kezdett ténykedésbe. … Gondolom valami robot jött be, és jelezte neki, hogy jöhet garázdálkodni.
Jött.

Van annak értelme, hogy root joga van már, de mégis a feltört user nevében futtatja a programot, hogy könnyebb legyen megtalálnom?
Egyébként teljes rsync tükrözéssel mentődik a teljes gép, és a lementett fájlok között nincsen egyetlen bin, sbin alatti állomány sem, se kernel fájlok.
Ha rootkit, akkor azért valamelyik rendszerfájlnak meg kellett volna változnia. Nem?

Köszönöm a válaszokat:
1 – Ez a program nem volt a szerveremen. Ő másolta fel.
2 – Én nem adtam külön jogot a usereknek arra, hogy daemont indíthassanak. Én is úgy tudtam, hogy egy user-nek erre nincs joga. De belépve futott a program, pedig a user nem volt belépve. Gondolom, ez akkor daemon volt.
3 – A futó program nem root joggal futott, hanem a feltört user nevében. Akkor is rootkit? Én úgy tudtam, hogy a rootkittel root joghoz jut a betörő. Akkor a demonnak is root joggal kellett volna futnia. Nem?
4 – Ez tényleg rootkit? A google találat szerint inkább valami IRC kliensnek/szervernek gondolnám, de sajna nem igazán vagyok IRC téren otthon, hogy miket is tudnak manapság.

🙂
Köszi! Bár én ingább perl párti vagyok, de szívesen megúsznám a regexek írását. Főleg, hogy szerintem ezeket már elég sokaknak meg kellett tenni … valahol csak búvik egy ilyen regex halom … No, ez kellene nekem … 😉

Rendben, nem fogalmaztam pontosan:
Ezen a wincseszteren van a root fájlrendszer egy partíció, meg a swap egy másik partíció.