Zitat von martin',
Hoffentlich inklusive regelmäßiger Updates des Systems und der darauf laufenden Software sowie regelmäßiger Prüfung der Logs. Alles in allem klingt das nach einer geknackten Kiste. Wenn das wirklich ein drei Jahre altes System (Etch? Lenny?) ist, dann würde mich das nicht wundern.
Uppis wurden gemacht, logs habe ich auch immer wieder durchgeschaut, Freitag war ich im Krankenhaus, super, komm nach hause , hatte noch keinen Kaffee und dann das.
Am Freitag um 2:55Uhr hat er damit angefangen, um 13 uhr war er deaktiviert da die leute nicht mehr auf Ts kamen, und hier ein Auszug aus der log:
Sep 7 16:06:21 v220100555353149 sshd[24196]: Server listening on 0.0.0.0 port 22.Sep 7 16:06:21 v220100555353149 chpasswd[24209]: pam_unix(chpasswd:chauthtok): password changed for rootSep 7 16:17:01 v220100555353149 CRON[18214]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directorySep 7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session opened for user root by (uid=0)Sep 7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session closed for user rootSep 7 16:17:54 v220100555353149 sshd[19755]: Did not receive identification string from 92.96.178.95Sep 7 16:26:21 v220100555353149 sshd[859]: reverse mapping checking getaddrinfo for 82-137-13-7.rdsnet.ro [82.137.13.7] failed - POSSIBLE BREAK-IN ATTEMPT!
Ich denke mal das sich hier netcup Eingeloggt hat, das Passwort geändert hat , das mir dann zugeschickt wurde damit ich dann auf das Rettungssystem zugreifen kann.
Wie gesagt kann ich ja keine Analyse machen , bzw. wie soll ich eine machen?
PS: System Debian
Alex
Auf irgendeine Weise muss also jemand Ihren Server missbraucht haben, Möglichkeiten gibt es dort sehr viele, je nach Einrichtung und Konfiguration des Systems z.B. per PHP, direkt per SSH etc. pp
Über SSH ? Nur ich hatte den Zugriff, mein Vertrauens Admin hatte nur FTP rechte mit eigenem Ordner, um News schreiben zu können.
per PHP mh. die Homepage war sowas von zu das selbst mein Admin Schwierigkeiten hatte die Bilder zu den Themen zu posten.
Aber Alex, wie finde ich heraus mit welcher Software "Portscanner – Wikipedia" hier gearbeitet wurde?