Для определения заражения рекомендуют скачать и собрать dump_cdorked_config для дампов памяти данного бекдора
wget http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c
gcc dump_cdorked_config.c -o dump_cdorked_config
chmod +x dump_cdorked_config
./dump_cdorked_configесли
No shared memory matching Cdorked signature was found.
To further verify your server, run "ipcs -m -p" and look for a memory segments created by your http server.то все «ОК»
Почему в кавычках?
Да потому что нифига не ок, подтверждение тому
https://code.google.com/p/malware-lu/wiki/en_malware_cdorked_A
After its termination, the malware will send a 302 to the client, and serve google.com. This action will appear in Apache's logs.т.е., при использовании ссылки вида
http://site.ru/favicon.iso
у Вас идет редирект на google, то примите мои поздравления, у Вас проблемка.
Лечится довольно-таки просто, переустановкой компонентов веб сервера.
Вдобавок, надо удалить сегменты памяти касающиеся apache
ipcs -m
------ Сегменты совм. исп. памяти --------
ключ shmid владелец права байты nattch состояние
0x0000014c 0 root 600 384 20
0x00000000 9404417 root 600 524288 9 назначение
0x0000121f 6750210 root 600 463504 0
0x00004058 8323075 apache 600 6161712 0 удаляем
ipcrm -m 8323075«Бэкдор не имеет механизмов самораспространения и не использует уязвимость в ПО на сервере для своей установки.»
Очень интересное чтиво на эту тему
http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf