<p>Run chkrootkit, and do a rpm -Va to see what binaries are broken. To be sure, its sometimes best to start over with a fresh install, but you want to find how they got in and make sure that you're all patched up.<br>

-dc</p>
<div class="gmail_quote">On Feb 28, 2011 10:57 PM, "Tim Wilson" <<a href="mailto:tim_linux@wilson-home.com">tim_linux@wilson-home.com</a>> wrote:<br type="attribution">> As Ken said, disconnect it from your network.  I made the mistake of not<br>
> disconnecting mine, and the @%$#$%# connected back in and wiped all traces<br>> of his presence.  I thought I had locked him out, but he had left another<br>> backdoor that he used.<br>> <br>> On Mon, Feb 28, 2011 at 10:49 PM, Zachary Kotlarek <<a href="mailto:zach@kotlarek.com">zach@kotlarek.com</a>>wrote:<br>
> <br>>><br>>> On Feb 28, 2011, at 10:23 PM, L. V. Lammert wrote:<br>>><br>>> > Any thoughts on how to isolate the cause? I finally got into the box by<br>>> > playing with the firewall, but don't see any logins or anything untoward<br>
>> > in ps.<br>>><br>>><br>>> `lsof` or `netstat`would give you a better idea what was using the network.<br>>><br>>>        Zach<br>>><br>>><br>>> _______________________________________________<br>
>> Cialug mailing list<br>>> <a href="mailto:Cialug@cialug.org">Cialug@cialug.org</a><br>>> <a href="http://cialug.org/mailman/listinfo/cialug">http://cialug.org/mailman/listinfo/cialug</a><br>>><br>
>><br>> <br>> <br>> -- <br>> Tim<br>> Required reading: <a href="http://bccplease.com/">http://bccplease.com/</a><br></div>