1) In netstat sehe ich IRC Verbindungen zu irgendetwas .undernet.nl.
2) netstat -p sagt das kommt von bash als root.
3) lsof meint, /usr/src/info/.ICE-unix dort sei bash gestartet worden
4) dort ist folgendes zu finden:
.
./run
./r
./r/rtsay.e
./r/rversions.e
./r/rnicks.e
./r/raway.e
./r/rpickup.e
./r/rsignoff.e
./r/rkicks.e
./r/rinsult.e
./r/rsay.e
./bash
./m.help
./xh
./inst
./autorun
./start
./vhosts
./m.set
./85.31.186.8.user
./85.31.186.8.user2
./85.31.186.8.user3
./mech.dir
./cron.d
./update
./m.pid
./LinkEvents
./m.ses
./Ademoncra.seen
./m.lev
./Jumboor.seen
./Polonetz.seen
./joint.seen
./controller.seen
5) crontab -e zeigt diesen Eintrag:
* * * * * /usr/src/info/.ICE-unix/update >/dev/null 2>&1
Die Kiste wurde gehackt und ich habe keinen Schimmer von wo und wie.
Weiss jemand wie man das ermittelt ?
In der Zwischenzeit habe ich die Files mal gespeichert (dann gelöscht) und crontab angepasst.