Подскажите пожалуйста что на сайте такое пытались сделать и как с этим бороться? Хостер написал папку откуда запускается скрипт и имя самого скрипта: socks.pl Подскажите, поможет ли удаление папки где находится скрипт и какие меры принять что бы в дальнейшем он снова не попал уже в другие папки? Joomla версии 1.5.22. Как разблокируют сайт сразу же обновлю до 1.5.26
Весь текст не буду приводить, частично:
Много много вот такого текста:
root@spl2:~# lsof -u u1934608 | grep TCP
perl 324 u1934608 5u IPv4 235403972 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:1380 (ESTABLISHED)
perl 367 u1934608 5u IPv4 225050665 TCP spl2.hosting.reg.ru:3003->183.25.247.229:3124 (ESTABLISHED)
perl 388 u1934608 5u IPv4 202335471 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:3241 (ESTABLISHED)
perl 439 u1934608 4u IPv4 324482962 TCP spl2.hosting.reg.ru:52196->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
perl 477 u1934608 5u IPv4 221149380 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:4684 (ESTABLISHED)
perl 498 u1934608 4u IPv4 324483174 TCP spl2.hosting.reg.ru:52265->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
perl 507 u1934608 5u IPv4 198199318 TCP spl2.hosting.reg.ru:3003->14.112.67.163:1395 (ESTABLISHED)
perl 538 u1934608 5u IPv4 233131261 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:1449 (ESTABLISHED)
perl 570 u1934608 5u IPv4 218637239 TCP spl2.hosting.reg.ru:3003->183.25.247.229:4703 (ESTABLISHED)
perl 583 u1934608 4u IPv4 324483431 TCP spl2.hosting.reg.ru:52340->UNKNOWN-98-136-33-X.yahoo.com:www (SYN_SENT)
perl 596 u1934608 5u IPv4 230769766 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:gpsd (ESTABLISHED)
perl 605 u1934608 5u IPv4 222773719 TCP spl2.hosting.reg.ru:3003->unassigned.psychz.net:4889 (ESTABLISHED)
Вот такое:
root@spl2:~# ps auxfS | grep u1934608 | wc -l
1492
root@spl2:~# ls -la /proc/1858
total 0
dr-xr-xr-x 7 u1934608 psacln 0 2012-04-09 13:55 .
dr-xr-xr-x 1903 root root 0 2012-03-31 03:25 ..
dr-xr-xr-x 2 u1934608 psacln 0 2012-04-09 14:38 attr
-r-------- 1 u1934608 psacln 0 2012-04-09 14:38 auxv
-r--r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 cgroup
--w------- 1 u1934608 psacln 0 2012-04-09 14:38 clear_refs
-r--r--r-- 1 u1934608 psacln 0 2012-04-09 13:55 cmdline
-rw-r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 coredump_filter
-r--r--r-- 1 u1934608 psacln 0 2012-04-09 14:38 cpuset
Затем много много такого:
perl 1858 u1934608 1995r FIFO 0,6 152489687 pipe
perl 1858 u1934608 1998w FIFO 0,6 152489675 pipe
perl 1858 u1934608 1999w FIFO 0,6 152489688 pipe
perl 1858 u1934608 2000w FIFO 0,6 152489676 pipe
perl 1858 u1934608 2001w FIFO 0,6 152489759 pipe
perl 1858 u1934608 2002w FIFO 0,6 152493533 pipe
perl 1858 u1934608 2003w FIFO 0,6 152489760 pipe
perl 1858 u1934608 2004w FIFO 0,6 152542981 pipe
perl 1858 u1934608 2005w FIFO 0,6 152489761 pipe
perl 1858 u1934608 2006w FIFO 0,6 152493534 pipe
perl 1858 u1934608 2007w FIFO 0,6 152544806 pipe
perl 1858 u1934608 2008w FIFO 0,6 152493535 pipe
perl 1858 u1934608 2009w FIFO 0,6 152542982 pipe
perl 1858 u1934608 2010w FIFO 0,6 152549427 pipe
perl 1858 u1934608 2011w FIFO 0,6 152542983 pipe