[Eisfair] [e1] komische Einträge in der messages.log -> Hack?

[Thomas Lutze]

Hi Fabian,

Am 21.10.2013 21:45, schrieb Fabian Törner:
> Hallo NG,
> Oct 21 05:34:39 eis sshd[698]: Bad protocol version identification
> '\026\003\001\001+\001' from 213.132.75.90
> Oct 21 05:34:39 eis sshd[697]: Did not receive identification string
> from 213.132.75.90

hast du eventuell auf dem Server ne Joomla laufen, die von Aussen 
erreichbar ist und setzt da den JCE ein?
Dann könntest du dir da eine php-Backdoor eingefangen haben.
Prüfe dann mal das Apache access-log und suche nach "POST".
Es gibt da seit ca 2012 Massenhacks bei nicht aktuellem JCE.

Die IP 213.132.75.90 ist russischen Ursprungs

Ich weiss natürlich nicht, wie weit die Jungs innerhalb des Systems aus 
der Webroot nach oben kommen, aber...

Gruss

Thomas (JCE Massenhack geschädigt) ;-(