fetzenfresser
New Member
Guten Morgen,
folgendes Problem hat sich heute so gegen 1:00 Uhr ereignet:
ich wollte mich mit meinem eingerichteten Useraccount per SFTP einloggen. Er sagte dass der Benutzer unbekannt wäre. Habe dann den root Login für ssh wieder freigeschaltet und mich eingeloggt. Ging glücklicher weise auch. Der Benutzer ist jetzt nicht mehr da! warum nicht? denn das Benutzerverzeichnis ist mit allen Daten vorhanden.
Ich nehme an das dass Teil gehackt ist. Aber wie genau soll ich jetzt vorgehen?
Serverinfo: server4you vserver, debian 3.1 (Updates habe ich alle gezogen, schon vorher), dieses Confixx-premium... usw.
Als erste Maßnahme habe ich chkrootkit und rkhunter gestartet. die haben nichts entdeckt, jedenfalls kein rootkit.
Der rkhunter hat aber festgestellt dass der Benutzer nicht mehr drin ist. Toll das weiß ich auch selber
Da ich völlig übermüdet war habe ich über dieses Powerpanel die Firewall für incoming und outgoing dicht gemacht. Dann mit der noch offenen ssh Session einen reboot durchgeführt. Desweiteren das Root PW geändert.
damit ist er jetzt erstmal vom Netz. Aber wie soll ich jetzt vorgehen? passiert das manchmal dass ein user gelöscht wird?
Ich bitte um eure Hilfe.
Gruß fetzenfresser
folgendes Problem hat sich heute so gegen 1:00 Uhr ereignet:
ich wollte mich mit meinem eingerichteten Useraccount per SFTP einloggen. Er sagte dass der Benutzer unbekannt wäre. Habe dann den root Login für ssh wieder freigeschaltet und mich eingeloggt. Ging glücklicher weise auch. Der Benutzer ist jetzt nicht mehr da! warum nicht? denn das Benutzerverzeichnis ist mit allen Daten vorhanden.
Ich nehme an das dass Teil gehackt ist. Aber wie genau soll ich jetzt vorgehen?
Serverinfo: server4you vserver, debian 3.1 (Updates habe ich alle gezogen, schon vorher), dieses Confixx-premium... usw.
Als erste Maßnahme habe ich chkrootkit und rkhunter gestartet. die haben nichts entdeckt, jedenfalls kein rootkit.
Der rkhunter hat aber festgestellt dass der Benutzer nicht mehr drin ist. Toll das weiß ich auch selber
Da ich völlig übermüdet war habe ich über dieses Powerpanel die Firewall für incoming und outgoing dicht gemacht. Dann mit der noch offenen ssh Session einen reboot durchgeführt. Desweiteren das Root PW geändert.
damit ist er jetzt erstmal vom Netz. Aber wie soll ich jetzt vorgehen? passiert das manchmal dass ein user gelöscht wird?
Ich bitte um eure Hilfe.
Gruß fetzenfresser