Jakmile zaútočí vystřihnu log a pošlu ho sem. Ale zatím se uklidnil. Musíme počkat až to zase zkusí. Já jsem zkoušel simulovat funkci toho jeho bashe (určitě se jedná o jednoho útočníka i když se vždy přihlašoval s jinou IP, ale kdopak ví kolik lidí to umí zneužít...), který sídlil v /var/tmp/.b a zjistil jsem, že pokud je aktivní což zajišťuje cron z téhož adresáře (když zabiju ten bash on za chvilku obživne), tak si pomocí prohlížeče zajistíte brouzování systémem jako file managerem. K tomu stačí jako adresu použít
http://tvuj-server/~mysql a je to, páč browser zobrazí obsah složky /var/lib/mysql/public_html a tam sídlí ony dva php scripty (bebe.php (file-manager) a nyck.php (?)) Jakmile však zabijete toho bashe a složku /.b smažete můžete psát cokoli a stránka je nedostupná. Tedy to znamená, že pokud máte v mysql bázi uživatele s otevřeně napsaným heslem tak ho hladce přečte a má user účty kompletní (teď záleží na tom co vše má jeden přes mysql zřizováno a nejenom tam). A pozor! Pokud pouze smažete tu složku a nevšimnete si co z ní bylo puštěno a restartnete server, tak se situace obnoví. Šikulka ten bash. Musí být zabit jako první, pak následují další kroky.
No příčinou je pouze jedna jediná díra v proftpd+mysql modul. Že jakmile se přihlásíte jako uživatel mysql a napíšete správné heslo tak se automaticky vytvoří databáze public_html bez buněk, přímo ve struktuře mysql (/var/lib/mysql), tam má chrootdir a tam on uloží co potřebuje a zmizí. Pak už jede pouze krz apache, který za to ovšem vůbec nemůže. Celá operace trvá 3 vteřiny.