Был у нас раньше человек, работал вторым администратором. То есть свою смену я сдавал ему. Недели две назад он уволился. Естественно я попросил его сдать пароль, он подошел ( просто проверка ), потом удалил его учетную запись и все его файлы и домашнюю директорию. Неделю назад: сижу с пивом, смотрю - на 2 терминале работает пользователь root. Я аж афанарел. Причем работает просто внаглую, все ресурсы машины пожрал. Ну естественно однопользовательский режим, обнаружил 1 руткит, восстановил все из бэкапа. Причем весь софт последних версий, дырок нету. В результате сервер был недоступен 15 минут, но это ерунда, ибо сами данные не пострадали. Сегодня ночью происходит почти идентичная история - появлеятся пользователь user и втихаря начинает изучать систему. В bash_history: uname -r, uname -a, df, users, id root, cat /etc/passwd и прочее. Я быстренько выкинул его из системы. Потом все проверил: он ничего не успел сделать. Подключил 2 знакомых админов, они тоже не могли понять, как произошел взлом. Логи ведут на проски - серверы. Сам сервер вообще не интересен, Apache + PHP + MySQL. Вообще никаких ценных данных. Интересны ваши мнения, как взломщик мог проникнуть в систему.