Стоял у меня apache-1.3.23, думаю через него и ломанули, переполонив буфер, по логам error_log было видно, атаку обнаружил через пару часов по пришедшим с сервера отчетам, в отчетах был листинг nmap с другого сервака, смотрю там порт 5788 открыт, в листинге процессов - левый процесс ./xfs он порт и держал. Зателнетился на 5788 - точно, падлы шелл подняли из под пользователя apache, благо до рута не добрались и бинарники не успели подменить или модуль повесить (хотя и файлов никаких не нашел левых). Так вот хочу спросить чо за бакдор поставили - самописный что-ли ? или какой известный, за любую инфу благодарен буду .. P.S. обновляейте апач :)