Guten Morgen!

In meiner Verzweifelung versuche ich mittlerweile überall Rat zu finden, doch hält man sich meist bedeckt.
Wir haben in unserem kleinen Rechenzentrum einen Server (LAMP) stehen, der immer wieder von irgendwelchen Kids geknackt wird. Unsere Vermutungen, warum gerade der Server es ist gehen zunächst in die Richtung, weil dieser zum einen nicht im Safe-Mode läuft und zum anderen viele virtuelle Server beinhaltet.
Bei einer Attacke werden im TMP-Verzeichnis mit den Benutzerrechten des Webserver-Users (www) Dateien abgelegt entpackt(!) und ein zweiter Webserver gestartet. Dieser dient dann wohl zum auskundschaften weiterer IP-Adressen. Nun ist hier die Frage nicht, was man damit anrichten kann, sondern wie ich das verhindern kann. Dabei interessiert es mich brennend, wie man so einen zweiten Server einfach so installieren kann. Das muss doch schon eine gewisse Sicherheitslücke sein, die wir die haben!
Weitere Details kann ich auch noch gern nennen, wenn Interesse besteht. Sollte jemand hier nicht posten wollen, würde mich auch eine eMail (r.o.g.e.r.[at]gmx.de) glücklich stimmen!