RootForum Community

Hallo Leute,

ich habe heute zufällig mitbekommen, dass sich da jemand in meinen Server eingeschliechen hat.
Einer meiner User hatte wohl ein schwaches Passwort (er selber benutzt immer einen RSAkey).
Der Eindringling hatte einen psyBNC-Bouncer in /dev/shm/.../.bash installiert und die exe "ps x" genannt. Mich hat dann nur gewundert, warum ein "ps x" schon 6 Tage läuft und an Port 4321 lauscht o.O
Ich hab mal ein bissl in der psyBNC config und den Logs geschaut und festgestellt, dass es ein Rumänia ist :)
Ich habe nun psyBNC geöscht und das Passwort des Users geändert.

Ich hatte aber gestern kurz nach seinem Login kurzzeitig eine riesen Last von über 40 auf dem Server und zur selben Zeit wurde ein riesen Traffic verursacht.
Hat jemand eine Ahnung, wie ich rausfinden kann, was da passiert ist? In den Logs kann ich nichts finden.

Schätze mal er hat den psyBNC als Warez Ã?berbringer genutzt

Er hatte ja nur die Reche dieses Users, also konnte er ja nicht allzuviel anrichten.
Der psyBNC wurde auch tatsächlich zum Chatten genutzt. Es gab 4 User, die auch täglich eingeloggt waren und gechattet haben.

Genau, und nur um zu chatten hackt man sich in einen Server SCNR

Man kann es ja eigentlich nicht als Hacken bezeichnen (daher auch in Anführungszeichen), denn er hat ja einfach Glück gehabt, dass der User so ein leichtes Passwort hatte.

Es ist egal wie der Hacker (Cracker) auf dein System gekommen ist.
Fakt ist, dein System ist gehackt worden.
Jetzt sollte die Standardprozedur ablaufen
- Rescuemodus booten
- Logfiles sichern
- Rechner neu aufsetzen

wer sagt denn, dass der Benutzer keinen Kernelexploit ausgenutzt hat um ein Rootkit zu installieren und somit das ganze System zu kompromitieren?

Just my 2 cent ...