Obviamente, como outros já disseram, a resposta oficial "segura" seria reconstruir a máquina.
A realidade da situação pode impedir isso. Você pode executar algumas coisas para verificar se há comprometimentos:
- Chkrootkit - testes para sinais comuns de comprometimento do servidor
- Se o sistema rpm, 'rpm -Va | grep 5' verificará todos os binários instalados em rpm e reportará um "5" se a soma MD5 tiver mudado. Recompilação necessária se você encontrar alguma inconsistência não explicada por um binário personalizado.
- Procure no / tmp por algo suspeito.
- Verifique 'ps fax' para qualquer processo anormal. Se 'ps' for comprometido ou por meio de outras técnicas, você ainda pode ter processos ocultos em execução.
- Se você encontrou QUALQUER arquivo em sua pesquisa que tinha propriedade diferente do apache, suas contas do sistema foram definitivamente comprometidas e você precisa de uma reconstrução.
Correções a serem feitas na configuração do seu sistema:
- Desativar uploads pelo FCKeditor, se possível
- Certifique-se de que seus diretórios temporários sejam feitos NOEXEC para impedir que programas sejam executados fora deles
- Qualquer script php deve estar atualizado
- Se você quiser instalar o fancy mod_security para procurar exploits durante o tempo de execução dos scripts php
Há uma tonelada de coisas que estou perdendo, mas esses seriam os primeiros passos que eu daria. Dependendo do que você está executando no servidor e da importância da segurança dele (você lida com transações CC?), Uma reconstrução pode ser necessária, mas se for um servidor de 'baixa segurança', você pode estar certo em verificar as opções acima. / p>