偽裝成 .. 的木馬資料夾 - Linux

嗯...很剛好的我是苦主...
我們實驗室的工作站都被植入了這樣一隻木馬
刪掉的事情小，後來用root 登入x-win的圖形介面就可以刪除了
問題是在昨天下午刪除並更換root密碼之後
昨天晚上又在/dev/shm/.. 發現了程式

中毒的症狀就是會執行svmap.py 和 scan 兩支程式
打開5060~5063的port
有人知道怎解嗎？

使用的系統是CentOS 5.5

後來有人提供了攻擊方式
http://0rz.tw/cIXMU
但是這個網頁沒有解法...


※ 引述《Holocaust123 (奔跑的蝸牛)》之銘言：
: ※ 引述《james732 (好人超)》之銘言：
: : 今天去處理一台疑似被入侵的電腦
: : 發現在 /tmp 底下竟然有兩個 '..' 資料夾 XD
: : drwxrwxrwt 6 root root 1202 Oct 14 03:30 .
: : drwxr-xr-x 46 root root 1536 Sep 27 16:18 ..
: : drwxr-xr-x 4 root root 1536 Sep 22 23:52 ..
: : 大概有點像這個樣子 XD
: : 用 find 輸出的結果類似這樣：
: : /tmp/.. /file1
: : /tmp/.. /file2
: : 可以看到它其實是 .. 後面加上一個印不出來的字元
: : 不過這種鬼東西，我還真不知道要怎麼刪掉 orz
: : 因此想上來請教一下，對這樣的目錄要怎麼處理呢？
: (不知道我想法有沒有問題...有錯請指正@@)
: 法一
: 我覺得問題在於無法(或不易)打出那個"看不見的字元"
: 解決方法就是利用shell的tab completion
: 讓shell幫你把檔名補完 就不需自己手動打了
: 若是bash 請在家目錄下新增檔名為".inputrc"的檔案
: 內容是"\t": menu-complete
: 然後cd到/tmp
: rm -r <TAB> 個幾次 看到那資料夾出現就把它刪了
: 請參考:
: 1. bash的tab-completion
: http://hints.macworld.com/article.php?story=20050904022246573
: 2. tcsh的tab-completion
: http://hints.macworld.com/article.php?story=20020215085858541
: 法二
: 用FileZilla或WinSCP連到該機器
: 然後直接從檔案總管裡刪資料夾

--