непонятное приложение на порту

система чистая debian

lol

Каспер что говорит?

1000 рублей час консультаций. почта в профиле.

взломали тебя, админа ищи, ты чото совсе немощный

я и так разберусь со временем. просто думал норм люди есть, которые может сталкивались с этим. и дадут ответ, или хотябы примерную последовательность действий.

а не критику в мою сторону.

Дай угадаю? Ты выставил ssh с разрешенным пользователем root и простым паролем в интернет?

в точку! торопился, некогда было редактировать.

я уже так и подумал что залезло чтото.

щас закрыл рута на ssh и сменил пасс.

Закрой рута, а пользователем ходи по ключам.

Скорее всего оставили руткит. Первое что можно сделать:

• Поменять пароли
• Посмотреть логи (особенно /var/log/auth.log - ищите Accepted password ....). Скорее всего сбрутили рута или пользователя и будет хотя бы понятна дата взлома (груба говоря в каком бекапе данные «чистые»).
• Прогнать rkhunter - может обнаружится известный руткит
• Вне зависимости от результатов переставить систему

Я админ локалхоста, но я бы лучше востановил из бекапа.

Обычно бекапят данные, а заразу ставят куда поглубже, в ядро например. Я бы не рисковал.

А тут разве советы дают ? - я думал это развлекательный ресурс. :)
У тебя (90%) простой пароль рута по ssh на стандартном порту подобрали и подсадили в кронтаб хрень, которая запускается из tmp, у которой не запрещен x. Или подсадили шелл на сайт и далее по списку. Все это результат полного отсутствия знаний. А какой реакции ты ожидал - сопельки вытереть чтоли, за то что ты с людей деньги за работу берешь, а сем её делать не умеешь ?

Я не в курсе. Я же админ локалхоста)

систему с нуля переустанавливай, потому что руткиты ты со своими знаниями не вычистишь

да, в /var/log/auth.log куча попыток перебора паролей..

rkhunter протестил, обнаружил, созданные новые пользователей с правами root + скрытые неизвестные скрипты.

да, переставлять в любом случае буду.

Спасибо.

man wall
попробуй уговорить его.

http://malpaso.ru/lor-faq/

Пункт 1.3, собственно.