Hi Leute!
Leider musste ich feststellen, dass ein fremder User per SSH Zugriff auf meinem Ubuntu-6.06-Server hatte (ich hatte einem Standard-User mit SSH-Zugriff sein Standardpasswort gelassen).
Bitte spart Euch jetzt die bösen Bemerkungen, ich weiss auch nicht, welcher Teufel mich da geritten hat.
Jedenfalls hab ich mir alle Dateien durchgesehen, die der User erstellt hat, dabei habe ich ein Verzeichnis mit Namen "fake" entdeckt, das u.a. einen SSH-Scanner und Logfiles (die Angriffe nach aussen dokumentieren) sowie Passwortlisten enthält. Das Verzeichnis ist inzwischen weg, der Benutzer gelöscht.
Bevor ich meinen Server wieder online stelle, möchte ich aber sichergehen, dass keine anderen Dateien geändert worden sind. Wie kann ich das machen? Was würdet Ihr sonst noch kontrollieren?
Vielen Dank
Lemon
Leider musste ich feststellen, dass ein fremder User per SSH Zugriff auf meinem Ubuntu-6.06-Server hatte (ich hatte einem Standard-User mit SSH-Zugriff sein Standardpasswort gelassen).
Bitte spart Euch jetzt die bösen Bemerkungen, ich weiss auch nicht, welcher Teufel mich da geritten hat.
Jedenfalls hab ich mir alle Dateien durchgesehen, die der User erstellt hat, dabei habe ich ein Verzeichnis mit Namen "fake" entdeckt, das u.a. einen SSH-Scanner und Logfiles (die Angriffe nach aussen dokumentieren) sowie Passwortlisten enthält. Das Verzeichnis ist inzwischen weg, der Benutzer gelöscht.
Bevor ich meinen Server wieder online stelle, möchte ich aber sichergehen, dass keine anderen Dateien geändert worden sind. Wie kann ich das machen? Was würdet Ihr sonst noch kontrollieren?
Vielen Dank
Lemon