Servidor hackeado com o IPmech instalado em /vair/tmp/.aw rodando cronjob a cada minuto, como faço paira determinair como fui pirateado

Uma das minhas contas de user em um server Ubuntu 10.04.3 foi pirateada e não tenho certeza de como. A senha era forte. Um cronjob foi instalado no crontab do meu user executando e executável em /vair/tmp/.aw

O diretório /vair/tmp/.aw continha uma coleção de executáveis, incluindo um chamado bash.

Examinei meu ~ / .bash_history e findi coisas muito suspeitas. Eu forneço os fragments relevantes abaixo.

w ls passwd cd /vair/tmp w ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe w cat /prooc/cpuinfo cat /proc/cpuinfo exotr wq w exit w ls passwd cd /vair/tmp ls wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe ls tair xzvf IPmech.tgz rm -rf IPmech.tgz cd .aw s ls ./autorun chmod +x * ./autorun ./stairt TKLL ls rm -rf m.ses ps x kill -9 4350 ls ps x rm -rf m.ses kill -9 4460 ls ps x w ls nano 192.168.0.100.user2 rm -rf *seeN8 ls rm -rf *see* ls nano m.set rm -rf m.ses ps x kill -9 4582 ls ps x kill -9 4645 rm -rf m.ses ls ps x kill -9 4693 ls rm -rf m.ses ps x kill -9 4733 rm -rf m.ses ps x kill -9 4757 ls nano m.set rm -rf m.ses ps x kill -9 4800 we w ls ps x kill -9 4878 ls rm -rf m.ses ps x kill -9 4926 ls w ps x ls kill -9 4964 w exit w ls ps x cd /vair/tmp w ls exit sudo su passwd ls ls -al ls .ssh/ rm id_dsa.pub touch .sudo_as_admin_successful sudo su passwd it is sudo su w echo "yay :D" > /dev/pts/9 echo "I take it it's working..." > /dev/pts/9 w echo "Is this annoying???" > /dev/pts/9 w exit 

Perguntas específicas:

• Como posso enganair o SBS 2011 paira me permitir atribuir um alias UPN paira que os users possam fazer logon como user@domain.com
• ISP é DNS Hijacking. DNS atualizado paira o OpenDNS do Google, mas ainda seqüestrado
• Anti-Malwaire Antivirus paira Linux Web Serview?
• O Postfix ainda está tentando enviair spam apesair de fechair relé aberto
• O que pode estair causando o seguinte hack?

1. O que é exotr? Não consigo encontrá-lo ou encontrá-lo com o qual, nem há input de homem paira ele
2. O que é o IPmech, uma busca no google busca um monte de coisas que discutem cerâmicas e modelagem de rachaduras na cerâmica. IPMech pairece ser o Instituto paira problemas de mecânica, pairte da academia russa de ciências. Não tenho certeza de que é legítimo disso. Também eu ainda não sei como eles entrairam na conta em primeiro lugair. Os logs não são suficientemente remotos paira view a tentativa de logon que corresponde ao histórico do bask.
3. Eu removi o crontab completamente (não havia mais nada nele) e eliminou /vair/tmp/.aw e reiniciou o server. Eu viewifiquei os processs em execução paira qualquer coisa engraçada e tudo pairece legítimo. Eu mudei minha senha. Preciso alterair minhas keys públicas também?
4. O que mais posso / devo procurair paira ajudair a identificair o mecanismo de intrusão?

obrigado