Heute (19.03.2007/11:18 Uhr) schrieb Markus Schulz,
Am Montag, 19. Maerz 2007 00:20 schrieb Jim Knuth:
Heute (19.03.2007/00:13 Uhr) schrieb Hans-Georg Bork,
[..]
mit Knoppix booten, Platte einbinden und suchen lassen ...
:) DAS geht nicht. Kein physikalischer Zugriff ..
Dann ist es wohl ein Rootserver? Die Anbieter haben eigentlich immer
Rescue Systeme die man von der Weboberflaeche des Anbieters aus starten
kann. Damit koenntest du das System als Rescue booten und genauer
Analysieren.
ja, hab ich gemacht. Es wurde ein Rootkit und eine SSH Backdoor
installiert. Ausserdem alle Binaries ausgetauscht, die Aufschluss
auf die Aktion geben könnten. Und natürlich Logfiles manipuliert.
Danke an alle, die geholfen haben.
P.S. Das ist ein schwerer Schlag für den Serverbetreiber ...