Hallo,
auf meinen upgedateten Debian-Wheezy Server ist ein Hacker eingedrungen, der Spam per SMTP verschickt. Mein alter Backup ist zwar noch clean, aber sobald ich mit diesem Online gehe, connected der Remote Server sofort und fürt ein bind9 Script aus.
Diesyslog zeigt folgende Auffäligkeit, siehe pastbin:
Jan 21 19:23:19 my-hostname rsyslogd: [origin software="rsyslogd" swVersion="5.8 - Pastebin.com
Die auth.log sieht sauber aus. In der mail.log erkenne ich den massenhaften Versand. Ich gehe davon aus, dass einen veraltete Joomla Version schuld ist. Es wurde sichtlich ein bind9 Scriipt ausgeführt. Hat einer eine Idee, wie ich die Ursache genau finden kann? Danke!