Meu server está com algum script malvado ! Como descobrir onde está o menino???

[mcrmcr22]

Olá amigos,

Como faço para descobrir um arquivo script mal intencionado no servidor ?
Tenho esta certeza pois nenhum email está sendo entregue. A fila esta aumentando e no log maillog aparece isso:

ep 22 10:28:04 srv1 qmail: 1253626084.963061 tcpserver: ok 29310 srv1.xxxxx.com.br.xxxxx.com.br:xxxxxx:25 :187.2.32.62::61169
Sep 22 10:28:05 srv1 qmail: 1253626085.140782 tcpserver: end 29310 status 256
Sep 22 10:28:05 srv1 qmail: 1253626085.140894 tcpserver: status: 3/60
Sep 22 10:28:05 srv1 qmail: 1253626085.243335 tcpserver: status: 4/60
Sep 22 10:28:05 srv1 qmail: 1253626085.243490 tcpserver: pid 29311 from 187.2.32.62
Sep 22 10:28:05 srv1 qmail: 1253626085.244268 tcpserver: ok 29311 srv1.xxxxxxxxx.com.br:xxxxxxx:25 :187.2.32.62::64569
Sep 22 10:28:05 srv1 qmail: 1253626085.416885 tcpserver: end 29311 status 256
Sep 22 10:28:05 srv1 qmail: 1253626085.417085 tcpserver: status: 3/60
Sep 22 10:28:05 srv1 qmail: 1253626085.528007 tcpserver: status: 4/60
Sep 22 10:28:05 srv1 qmail: 1253626085.528167 tcpserver: pid 29312 from 187.2.32.62
Sep 22 10:28:05 srv1 qmail: 1253626085.528943 tcpserver: ok 29312 srv1.xxxx.com.br.xxxx.com.br:xxxxxxxx:25 :187.2.32.62::63895
Sep 22 10:28:05 srv1 qmail: 1253626085.576397 tcpserver: end 29286 status 0
Sep 22 10:28:05 srv1 qmail: 1253626085.576516 tcpserver: status: 3/60
Sep 22 10:28:05 srv1 qmail: 1253626085.703869 tcpserver: end 29312 status 256
Sep 22 10:28:05 srv1 qmail: 1253626085.703929 tcpserver: status: 2/60
Sep 22 10:28:05 srv1 qmail: 1253626085.902532 tcpserver: status: 3/60
Sep 22 10:28:05 srv1 qmail: 1253626085.902694 tcpserver: pid 29313 from 187.2.32.62
Sep 22 10:28:05 srv1 qmail: 1253626085.903474 tcpserver: ok 29313 srv1.xxxxxxx.com.br:xxxxxxxxx:25 :187.2.32.62::63627
Sep 22 10:28:06 srv1 qmail: 1253626086.154050 tcpserver: end 29313 status 256
Sep 22 10:28:06 srv1 qmail: 1253626086.154181 tcpserver: status: 2/60
Sep 22 10:28:06 srv1 qmail: 1253626086.260857 tcpserver: status: 3/60
Sep 22 10:28:06 srv1 qmail: 1253626086.320107 tcpserver: pid 29323 from 187.2.32.62
Sep 22 10:28:06 srv1 qmail: 1253626086.321076 tcpserver: ok 29323 srv1.xxxxx.com.br.xxxx.com.br:xxxxx.xxxx:25 :187.2.32.62::65025
Sep 22 10:28:06 srv1 qmail: 1253626086.510777 tcpserver: end 29323 status 256
Sep 22 10:28:06 srv1 qmail: 1253626086.510838 tcpserver: status: 2/60
Sep 22 10:28:06 srv1 qmail: 1253626086.609746 tcpserver: status: 3/60
Sep 22 10:28:06 srv1 qmail: 1253626086.610001 tcpserver: pid 29364 from 187.2.32.62
Sep 22 10:28:06 srv1 qmail: 1253626086.610684 tcpserver: ok 29364 srv1.xxxxxx.com.br.xxxxx.com.br:xxxxxx:25 :187.2.32.62::62709
Sep 22 10:28:06 srv1 qmail: 1253626086.797626 tcpserver: end 29364 status 256
Sep 22 10:28:06 srv1 qmail: 1253626086.797995 tcpserver: status: 2/60

Detalhe : É um server de vários domínios. No momento tem 55 domínios operando por este servidor.

Valew amigos.

Uma ótima semana e fiquem com Deus !!!

[unistd]

Amigo, tente passar um chkrootkit para checar se há algo errado com seu sistema.

[DarkAngelTux]

isso, alem do chrootkit, dá uma sniffada, as vezes é alguma máquina com virus....