Tripwire показал изменение ряда системных файлов (login, ls, ps, netstat, ifconfig, init,syslogd), в /bin добавился xlogin, в /usr/bin появился каталог /.rave с содержимым. Изменены rc.sysinit и rc.local
Запущены левые сервисы на 80, 443, 3049 и 1986
Sislogd был червём в момент заражения остановлен, в логах чисто.
Сталкивался ли кто-нибудь? В какой программе дыра-то?