On 18.10.18 10:36, Bjoern Franke via Admin wrote:
Moin,
vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der User ein schlechtes Passwort.
Installiert wurden im kompromittierten System dropbear, ein Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc. ausgeführt. Und nicht zu vergessen: grub2-setpassword.
Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt, diese läuft momentan noch auf jessie.
Muss natürlich heißen: eine neue VM erstellt, die nun als vec01 läuft.
Wer sich das kompromittierte System anschauen möchte, es liegt momentan in /mnt auf ber gemountet.
Grüße bjo