Warnung vor exim4 Lücke

Guten Tag, ich habe hier bei netcup einen VServer und wurde auf diesem über einen Exim4 Exploit angegriffen. Da der Server nicht sehr bekannt ist geh ich davon aus, dass eine ganze IP Range angegriffen wurde, eventuell sind hier noch mehr betroffen. Gezeigt hat sich das ganze nach einem fehlgeschlagenen apt-get upgrade, es wurden Einträge in /var/log/exim4/paniclog gefunden. Folgender Port war offen, als ich mich eingeloggt habe: tcp 0 0 0.0.0.0:44965 0.0.0.0:* LISTEN 19581/-bash Weiterhin war in /root/.ssh eine authorized_keys Datei erstellt worden und die sshd Einstellungen geändert. Charakteristisch für diesen Exploit sind wohl im Ordner /var/spool/exim4 folgende Dateien: -rw-r--r-- 1 root root 0 16. Dez 20:18 s -rw-r--r-- 1 root root 0 16. Dez 20:18 s.c -rw------- 1 Debian-exim Debian-exim 3120 15. Dez 21:41 setuid.1 Weitere Infos unter: http://www.reddit.com/r/netsec…s_of_the_root_kit_that_go Ich hab jetzt erst mal ein neues System aufgespielt. Schaut am besten auch mal nach wenn ihr Exim benutzt, ich hoffe ihr seid nicht betroffen.