setzt er die passwörter zurück oder wie kann ich das verstehn ?
ja, er wechselt das wurzel verzeichnis (/) nach /OLD_SYSTEM und ruft dann /bin/passwd auf.
du kannst so jedes kommando aufrufen zB. auch eine shell "chroot /OLD_SYSTEM /bin/bash", "man chroot" für mehr info.
gibts ne möglichkeit meine einstellungen zu übernehmen ?
ja aber, gegenfrage weist du welche einstellungen der eindringling evt. geändert hat damit, er immer wieder ins system kommt?
ich bezweifle das ein eindringling passwörter ändern würde, auf diese art fällt er ja sofort auf. für solche fälle hat man normalerweise auch backups älterer versions stände.
kopier dir den inhalt von /etc und, kopiere in in dein neues system zurück.
lege dir ebenfalls eine kopie deiner packetliste an um nicht alles wieder manuel installieren zu müssen, hängt von deiner distribution ab wie das geht.
und ganz wichtig wenn wirklich jemand drauf war/ist finde heraus wie er das geschaft hat, sonst hast du ihn oder jemand anderen bald wieder drauf.
durchsuche zB. deine logs nach auffäligen logins.