[Eisfair] Einbruch/Hack?

[Stefan Heidrich]

Hallo Marcus,

>>  5 (127.0.0.1)[167.99.233.157] server at checking.net> Zu ideser Adresse fördert google einige Treffer zutage.
das habe ich gesehen...


>>       => mail.intersales.de[83.169.37.252] csclus.smtp at gmail.com
>> Das sind beides mir unbekannte Mailadressen.

Ich verschicke mein Mails über intersales.de (smarthost, ehemalige Firma
vom Frank)


> Ist dein Mailserver also von außen erreichbar?

Ja, natürlich. Was für einen Sinn macht ein Mailserver sonst? :-)


> Die "Completed-Zeilen könnten darauf hindeuten, dass es gelungen ist, die
> Mails über deinen Server zu verbreiten; demnach müsste der Login doch
> gelungen sein.

Ja, sehe ich genauso; deswegen die Änderung aller Zugänge.


> Für ntp sollte das so aussehen:
> eis # less /etc/passwd | grep ntp
> ntp:x:499:206:Network Time Protocol:/home/ntp:/bin/false

Ja, tut es jetzt auch.

Danke und Gruß
Stefan