Как найти руткит на сервере, если chrootkit, rkhunter и LMD не помогают?
Всем привет!
Случилась такая напасть - на VDS сервере существует некий вредоносный код, который подсовывает в html шаблоны сайта iframe ( и прячет его в невидимую область) , на который ругается касперский. Код этот переписывает шаблон как по расписанию, в одно и то же время. Если переименовать файл шаблона, или подключать другой, то это спасает на какое-то время, но потом iframe находит себе новый, подключаемый шаблон. Такое поведение наталкивает на мысль что кто-то указывает конкретный файл для перезаписи по расписанию вручную. Значит есть руткит на сервере?
Пробовал искать используя rkhunter, chrootkit ,Linux Malware Detect, мониторить логи, отключать пользователей ssh, перенастраивать порты, отключать рут - бесполезно. Просто так взять и переставить систему нельзя. Есть ещё какие-то способы выхода из ситуации? Система Debian squeeze.
