> Правильно делаете. Я был сильно удивлён, когда в открытом доступе увидел опенсурс-руткит Как state of art мне нравится вещичка от Рутковской - руткит для "Ring -3" (BMC-контроллер мамки). Вот это хороший PoC бэкдора который замучаешься ловить. Доступ х86 в BMC порезан, x86 не может шариться по его памяти. А вот наоборот - очень даже. К счастью экспонатец сильно зависим от конкретики реализации оборудования. Но для понимания как вообще можно - самое оно.
> один раз его запустить - и у тебя уже гости есть.
Нашли чем удивить. Можно даже ничего не запускать. Повесьте какой-нибудь сервис на стандартном порту. Ну там HTTP, FTP, ssh или там чего еще. И подивитесь сколько автоматики это нашло не более чем через полдня существования и пытается получить халяву путем использования дефолтных паролей и прочего.
> ко мне по ssh залогинился какой-то бот под рутом,
Это фигово, после такого систему надо переставлять, пересоздав на системном диске ФС (типа, "форматирование"). Там вполне мог быть руткит который не так уж тривиально вычистить. Современные боевые экспонаты могут быть противны в плане поимки и вычистки и соревноваться с их авторами в сообразительности и изобретательности - а ну его, останется какой-нибудь ошметок, потом через месяцок, когда вы уже забыли про него - починит остальное.
> почему на роутере нет левых соединений,
Не все то соединение, что данные. UDP или ICMP например отдельными пакетами оперируют. Через них вполне можно качать произвольные данные, а никаких "соединений" при этом нет. Вообще не понимаю людей которые считают что непременно должны быть "соединения". IP сети - packet switched а не circuit switched. Минимальным юнитом в общем случае является *пакет*.
