Liebe Leute,
nochmal was zum Angriff. Der Angreifer war so dreist, es noch zweimal zu probieren, so dass ich ihn dann auch online erwischt habe. Das offene Scheunentor war samba aus der testing-Distribution. Das ist ärgerlich, weil die Versionen aus stable und unstable neuer und vor allem sicher sind. Interessant ist, dass er zu Scannen nicht zufällige IP-Adressen gewählt hat, sondern inkrementell durch A-, B- bzw. C-Netze gegangen ist. Die Chance ist also groß, dass es noch mehr Rechner unter 141.30.*.* erwischt hat. Natürlich hat die TUD kein Warnsystem für Administratoren...
Außerdem hatte er seine Werkzeuge von 3 Accounts auf xoom.it heruntergeladen, was ich dann natürlich auch gemacht habe. Meine Email an abuse@xoom.it blieb aber unbeantwortet. Ziel des Ganzen war übrigens eine DDOS-Atacke basierend auf dem stacheldraht-Code. Gibt es security-Adressen, wo ich die Programme sinnvollerweise mal hinschicken kann?
Jetzt bleibt nur die Frage, wie ich zuverlässig herausfinden kann, ob in den Benutzerverzeichnissen irgendwelche Ostereier zurück geblieben sind. 72 GB manuell durchzugucken ist sicher kein gangbarer Weg.
Torsten
P. S.: Bevor ich zum Schämen in die Ecke gegangen bin, habe ich das verlorengegangene iptables-Skript reaktiviert und 'hosts deny all except ...' in die smb.conf eingetragen, peinlich peinlich...