Найти php через который взломали

там в папке есть несколько файлов с таким содержанием


много строк

Vasile3 Vasile3!~Betti@PutoRumano.users.undernet.org none 1231284757 3 Vasile
vxv vxv!~Cabron@Taci.users.undernet.org none 1231769181 2 Ping timeout
V3RsAcE V3RsAcE!H0rr0r1@attack.org.m-i-a-u.cn none 1232578891 2 Read error: EOF from client
vbhfghgfh vbhfghgfh!~Cabron@77.225.84.26 none 1232812205 3 xG
uzzi___ uzzi___!~Dapice@PutoRumano.users.undernet.org none 1232388086 3 Adelina
uzzi uzzi!~Dapice@port-87-193-254-100.static.qsc.de none 1231856197 2 G-lined ([3] Compromised hosts)
usuck usuck!~Stely@Ste.users.undernet.org none 1232737119 3 kidu
Tomi Tomi!~Beynart@gw-silo.hrochnet.cz none 1232914817 2 Ping timeout
Tio Tio!~Kee@213.33.130.10 none 1230579584 2 Ping timeout
tetete tetete!~ely@Naturala.users.undernet.org none 1230416478 1 #zk
Tomi_ Tomi_!~Beynart@gw-silo.hrochnet.cz none 1232906703 3 Tomi
Tom__ Tom__!~FrazierDa@metronet.cs.Virginia.EDU none 1231600411 2 Ping timeout
Tati_ Tati_!~Stolzenbe@61.72.77.213 none 1232513149 2 Ping timeout

Это IRC бот. Можешь запаковать каталог и прислать на ivlad@malpaso.ru?

>Это IRC бот. Можешь запаковать каталог и прислать на ivlad@malpaso.ru?
да могу, только там запускающего файла нету может я его прибил.

Не думаю, что сломали.
php работает от apache:apache (mod_php)? Порты выше 1024 слушать можно.

>Не думаю, что сломали.
скрипт-то значился как bash в netstat -pant, и был он прописан в crond юзера apache

т.е. возможно дырка в одном из скриптов... а может пароли стандартные на каком-нить мантисе

смотри логи фтп и апача - по фтп скорее всего залили скрипт-руткит, а потом через него уже все остальное. Обычно ставят все это так.

>по фтп скорее всего залили скрипт-руткит,

фтп был отключён... руткита не было. я нашёл в гугле что это называется semi hacked как-то так