Hallo

ich hab vergessen zu sagen, die Benutzer unter /home, die auch perl und PHP benutzen können hatten alle als shell /bin/false, es gab 1 Benutzer unter /home, der per WEB nicht erreichbar war, womit ich mich per SSh einloggte und dann per su - zu root machte, der root Login war in der sshd.conf deaktiviert

die Eindringlinge hatten sich ein Account "test" erstellt, der keine Shell hatte, womit sie sich eingeloggt hatten

der gehackte :-(