Moin,
vec01 war anscheined einen Monat lang kompromittiert, Zugang wurde
wahrscheinlich per VNC erlangt, da dieser auch von außen erreichbar war
und ein mieses Passwort hatte. Ebenso hatte wahrscheinlich einer der
User ein schlechtes Passwort.
Installiert wurden im kompromittierten System dropbear, ein
Socks-Server sowie tor, von dort wurden vermutlich weitere Scans etc.
ausgeführt. Und nicht zu vergessen: grub2-setpassword.
Aus einem alten vec01-Klon stand letztes Jahr wurde eine VM erstellt,
diese läuft momentan noch auf jessie.
Ein gestriger Check auf unseren VMHosts brachte keine weiteren offenen
VNCs zu Tage, ebenso ist angedacht, "sudo ohne Passwort" für unsere
Benutzer abzuschalten.
Grüße
bjo