Non è che i file li ha messi lì l'utente stesso?
Ce ne sarebbe da dire...E' possibile secondo voi fare un po' di reverse engineer e capire come hanno fatto ad entrare per non incorrere nuovamente nello stesso problema?
Le prime cose che mi vengono in mente / che puoi fare:
- controlla i vari file di log (syslog in primis e tutti i file di log generati dai demoni affacciati a internet).
- controlla i processi che vengono lanciati allo startup (/etc/init.d/*).
- controlla lo stato delle porte. Verifica quali sono in stato listening e quale processo le ha lanciate (non ho linux sottomano al momento ma qualcosa come netstat -antup dovrebbe fare al caso tuo.
- controlla gli utenti (verifica che non vi siano utenti strani che non conosci o che cmq non hai creato tu).
Rispondi quotando