для начала убиваем все процессы кроме sshd
Далее по netstat -plnt ( либо через ps aux ) смотрим, какие процессы появились заново и смотрим на открытые соединения :
lsof -i :port_of_process
далее через lsof смотрим открытые файлы процессами и отсеиваем ненужные :
lsof | egrep -v lsof | egrep -v egrep | egrep -v sshd | egrep -v hald | egrep -v crond | egrep -v avahi
и вуаля , перед нами полная картина по обращению к вредоносным файлам.
в моем случае был процесс httpd -DSSL c родителем — psy ботом , который и был вычищен.
после удаления зараженных файлов нужно в срочно порядке обновить систему ( ядро и все пакеты), обновить CMS и пересмотреть политики расставленных прав.
Естественно до начала заражения нужно вычистить все темповые папки ( например — /tmp , /var/tmp ) так как изначально в 99% случаев именно в них хранятся первичные вирусы, причем просмотра папок через ls недостаточно, так как изобретательные киддисы создают папки вида — «….» и при просмотре через ls или удалении через «rm -rf * » в папке они не удалятся, так как считаются скрытыми.