Eines (noch nicht einmal kalten) Abends im Februar:
Stefan ist auf dem Weg durch die allabendlich zugeschickten Sysinfomails. Da fand sich doch in der Statusnachricht eines Winboard-Servers die Netstat-Zeile:
tcp 0 0 *:1666 *:* LISTEN 21853/r0nin
Also der Hinweis, dass da seelenruhig eine Backdoor auf dem Server vor sich hinlief.
Ich, gar nicht mehr so seelenruhig per SSH eingeloggt, war leider einmal zu schnell, der “kill -9 21853″ war schneller abgesetzt als der Gedanke an die Analyse des Prozesses. Mist. Also dann half wohl nur manuelle Forscherarbeit.
Hier der ausführliche Bericht zur Jagd auf die bösen Bit-Buben:
