взломали Centos

[sous]

Всем доброго времени суток!!! Вообщем ситуация такая Centos 5.9 на нем стоит apache, freenx, shorewall, postfix, dovecot, roundcube.
ssh на нестандартном порту. открыты только нужные порты.
проверяю rkhunter не находит ничего, но, если поставить любую программу, и инициализировать aide (проверить контрольную сумму бинарника) на следующий день оказывается что она изменена. Когда с утра захожу видно что логи с 00:00 до 7:00 удалены.
пробывал гасить sshd на ночь, ситуация такая же.
На сервере нет критичной инфы, и хотелось бы, разобраться из за чего происходит взлом и почистить сервак. Вариант с переустановкой - хорошо, но не спортивно.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alvares]

Крон проверьте, сделайте копирование логов куда-нибудь еще...

[sous]

Логи пробывал копировать кроном, причем уже существующим скриптом, которым бекап делается, но этой копии утром небыло, а бекап сделан. НА другой сервер не хочется как то )

[ruslanstep1]

Как вариант сделать жёсткую ссылку на лог файл и на файл поставить chattr +a file1 — позволит открывать файл на запись только в режиме добавления. Тем самым если не прохавают то они не смогут удалить инфу из логов

[Alvares]

Вы пароли-то хоть сменили?

[kirill666]

Если все бинарники измененные попробуй все реинсталить и сменить сменить пароль

for i in `yum list installed | awk '{print $1}'` ; do yum -y reinstall $i ;done

так же я бы конфиг ssh посмотрел и заменил новым

[dekloper]

на следующий день оказывается что она изменена.

не парься
нормальная ситуация.. для ленугсов

[sous]

Нет для, линуксов, это не норм. Не поддаемся на провокации )
Значит переставил все как писал kirill666, с утра такая же песня, хардлинки на логи делал, chattr тоже, с утра они уделены были.
Есть еще у кого нить мысли ?

[dekloper]

ну в ядро бэкдор прикрутили
бинарники меняли, сравнивали с эталоном? (касательно ссхи, телнетов и прочих вариантов логина в систему)
пробуйте сам кернель сменить на не компрометированный
юзерспэйса мало..

[dekloper]

Нет для, линуксов, это не норм. Не поддаемся на провокации )

да нормально, нормально, осознание придет со временем