Rkhunter lähetteli meiliä aamulla seuraavasti:
Warning: Network TCP port 6667 is being used by /usr/bin/perl. Possible rootkit: Possible rogue IRC bot
         Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Network TCP port 7000 is being used by /usr/bin/perl. Possible rootkit: Possible rogue IRC bot
         Use the 'lsof -i' or 'netstat -an' command to check this.

Alustana on Debian. Netstat ei kyllä näyttänyt muita noita portteja mutta sen sijaan lsof näytti jotain avonaisia yhteyksiä olevan. Siinä viitattiin IRC:iin sekä kerrottiin vastapuolen hostnameja (ulkomaisia).
Heti alussa tein sen virheen että buuttasin koneen joten mulla ei ole tuosta tarkempia tietoja. Aijai, olisi pitänyt olla tarkempi.

top näytti jonkun perl skriptin vievän melkein koko prossun. Ei tarkempaa tietoa mikä oli kyseessä.

Buutin jälkeen on rauhallista kaikilta osin mutta kyllähän nuo varmaan takaisin tulee.
Käytössä on Ispconfig (palomuurisäännöissä auki vain tarvittavat, toki siis myös 80), Joomla 1.5.18.
Näyttäisi siltä että nuo avonaiset yhteydet viittasivat Joomlan hakemistoon.
Joomlan osalta viimeisin muutos, muutama päivä sitten, oli Phoca kuvagallerian lisäys.
Liskäsi koneella on pyörinyt muutaman päivän Zabbix monitorointiohjelma.

Olisiko kellään hyviä ehdotuksia mistä lähtisi kaivelemaan ?

Jysse

En oo ainakaan itse aukaissut portteja. Kyllä koneelle on tiedostoja siirretty. Joomlan juurihakemistossa oli ensin joku inc.php joka selaimella avattuna aukaisi jonkinlaisen upload-sivun.
Tein sen mitä osasin mutta ei tässä voi koskaan olla varma mitä on tehty joten kone menee uudelleen asennukseen. Työläs homma mutta tyhmyydestä sakotetaan. Oon lähes varma että oot itse ollut huolimaton hakemistojen oikeuksissa.
Poistin tuon inc.php:n ja jo seuraavana päivänä hakemistosta löytyi uusi faili (p.pl) jossa sisältönä "VopCrew IJO Scanner v1.2" jne. Ja IRC yhteyksiä oli auki.
Luulisin että tuo Irc pyörii http:n seassa.
Ei muuta kuin asentamaan ja tarkkuutta lisää oikeuksiin !

Ainakin seuraavaa löytyi tuon saitin juuresta:

inc.php jossa joku JShell ja tuon sai avattua ihan selaimessa ja sillä sai kai uploudattua faileja.

p.pl, perl skripti, VopCrew IJO Scanner v1.2

cgi.php, COLUMBUSSheLL 3.3.05.09, tuolla kai kerätään kaikki mahdollinen tieto koneesta. Hiukan huolestuttaa mitä tuolla on saatu aikaan. En vaan itse siitä tarpeeksi ymmärrä.

Tuo sivusto on nyt renamettu alta pois ja seuraan hiukan tilannetta.

Apachea ajetaan ww-data käyttäjänä.

Tulipa mieleen, kun tän huomasin kielitiedostoja etsiessäni.
Touko-kesäkuussa liikuskeli verkossa jonkin sortin robotti, joka etsi haavoittuvia sivustoja. Sivusto pystyi käytännössä olemaan mikä tahansa sivusto (joomla, wp, oscommerce, magento, you name it).
Tässä yksi esimerkki haittaohjelmasta:
Palvelin vahvasti suojattu. iptables, php, apache kunnossa, käyttöoikeudet ok. Käytännössä ei mitään tietoa sillä hetkellä, miten palvelimelle voisi päästä. Viikkoa aikaisemmin tietoturva testattu ja tulos puhdas.
Sivustolla uusin Joomla, lisäosat ajantasalla, php.ini kunnossa, käyttöoikeudet ok.
Silti tämä pieni perkele oli ujuttautunut joomlan images/ hakemistoon, muokannut käyttöoikeudet uudelleen, lisännyt oman koodinsa configuration.php ja jokaiseen  index.php tiedostoon, joka käyttäjän oikeuksilla pystyi muuttamaan.
Scripti itsessään sisälti nämä normaalit toiminnot (ssh-komentokehote, porttiscanneri, tiedostoupload jne.). Lisäksi ohjaa kaikki sivustolle hakukoneista tulevan liikenteen eteenpäin.

Yksinkertainen poistotapa. Kaikki .php -päätteiset tiedostot etsii läpi ja greppaa eval/base64_decode.

Tähän päivään mennessä ei ole selvinnyt mitä kautta tuo koodi oli sivustoon tarttunut, mutta seuraava 3 viikkoa ensimmäisestä ilmentymisestään alkoi soimaan puhelin ja tutut yhteistyökumppanit kyseli poisto-ohjeita.