Also entgegen der Empfehlung von ITS-netzwerk empfehle ich erstmal die Kiste von und nach extern unerreichbar zu machen. Nicht herunter fahren, lediglich mit der 1&1 Firewallfunktion den Server abklemmen.
Sonst gehen u.U. wichtige Hinweise und beweise verloren.
Eine forensiche Untersuchung wirst Du alleine nicht in dem Umfang hin bekommen, als das dies Zielführend verlaufen wird, so meine Einschätzung.
So weit ich es aus Deinem Post entnehmen konnte, war entweder eine Bruteforceattacke auf ssh erfolgreich oder durch eine vorhergehende Lücke ist jemand an Dein Passwort gekommen. Es kann auch gerne Verschlüsselt auf dem System gelegen haben. Plesk ist stark untr Beschuss und Rainbowtabellen gibt es auch für die in Plesk verwendete Art der Verschlüsselung.
Lange war es aber so, dass die Passworte in Plesk im Klartext vor lagen.
Wenn ich das Scrit noch richtig im Kopf habe wurde auch an der Plesk eigenen shadow manipuliert oder diese abgeholt.
Damit aber der Vorgang in der history erscheint, muss der Benutzer tatsächlich eine Shell Sitzung geöffnet haben.
Die Frage ist jetzt, ob er hierbei ein undichte Webapplikation genutzt hat und eine Remote shell implementiert hat inkl. einem rootkit um root zu werden oder eben tatsächlich per Bruteforce Attacke auf ssh.
Nur um Dir ein wenig die Illusion zu nehmen da soeben der ruf nach "Updates eingespielt" zu lesen war.:
Die Wahrscheinlichkeit ist zwar bedeutend grösser, dass bekannte Lösungen mit bekannten Lücken angegriffen werden, aber es ist grundsätzlich nicht ausgeschlossen, dass ein "selbst" gestricktes Script möglicherweise missbraucht wurde.
Unabhängig davon erinnere ich auch gerne daran, dass durch Bug und Security Fixes etliche andere Löcher entstanden sind. prominetestes Beispiel: Java.
http://www.heise.de/security/meldung/Ja ... 97435.html
Den einzigen Tipp, den ich dir wirklich geben kann. Wende dich an einen Profi und erstatte unbedingt Anzeige. Über die 1&1 Firewall das System vom Netz zu nehmen ist hier kein optionales Vorgehen sondern die erste Absicherungsmassnahme.
Auch zu Deinem eigenen Schutz, wer weiss, was der Angreifer mit deinem Rechner vor hat, oder hatte.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.