deswegen diskutieren wir ja, weil es ein forum ist und kein box-ring
in 99% aller fälle liegt es an mangelnden updates oder fehlerhaften (laxen) einstellungen (entstehen auch, wenn man die alten configs bei neuen sw-releases übernimmt).
scriptkiddies proben (mit top-aktuellen exploits) alle rechner durch und knacken alle rechner die offen stehen. wenn du nicht schneller bist als die, hast du halt verloren, so ist das nun mal. wenn man den rechner neu aufsetzt ist er wieder aktuell und bietet diese sicherheitslücke mit über 90%-iger warscheinlichkeit nicht mehr. macht da also ein _einfach neuaufsetzten_ (incl. ids diesmal) keinen sinn? klar, forensic sollte man schon betreiben. aber man kann auch die logs sichern und weiter machen (vor allem, wenn sie freundlicherweise noch da sind). der typ war ja eh nen stümper, weil er seine spuren nicht verwischt hat, denn die logs waren nicht überschreiben und gegen /dev/null gelinkt. die warscheinlichkeit, dass dieser angreifer es noch mal versucht (und schafft) ist da eher gering. aber diese situation hat beim ersten mal nen hohen pädagogischen wert, und es ist wichtig sich damit auseinander zu setzen wie man in solchen situationen vorgeht. legt euch am besten einen notfallplan an. das verringert die panik.
bist du dir sicher, dass er nicht über nen anderen useraccount einloggen kann? möglich, dass er irgendwo ne binary versteckt hat, die ihm nen uid0 gibt. das system sollte auf jeden fall nur noch von nem rescue system angeschau und nicht mehr gestartet werden. selbst chroot ist u.u. gefählich.
aber all zu lange zwischen den scherben zu sitzen, wenn die vase auf dem boden liegt bringt auch nichts
ist halt schade drumm, aber wie gesagt: lebbe geht weiter ...
gruss und nichts für ungut, fossy.
p.s.: was mich etwas irritiert ist aber der port, der eigentlich für nen
bekannten vbs-trojaner reserviert ist
haben kein stiel mehr diese cracker ...
![:]](/styles/default/xenforo/smilies-ub/pleased.gif "Freude :]")
