Durch einen ungeschickten useradd-Befehl gepaart mit Passwort == Username, wurde mal ein Server schnell kompromittiert. Dem useradd-Befehl wurde dann auch nicht per „-s /bin/false“ keine Shell zugewiesen, sondern es wurde „/bin/sh“ per Default gesetzt. So fand jemand sehr schnell die Einstiegsluke.
In Unterverzeichnissen von /tmp wurden einige Exploit-Skripts und eine IRC-Bot-Software installiert. Unter anderem beinhaltete die Softwaresammlung auch den Bot Eggdrop.
Nachdem ich den Angreifer ausgesperrt hatte, konnte ich in der Shell-History das Vorgehen einsehen.
Sowas darf nicht passieren!
Hier die Shell-History (die IP-Adressen und Hostnamen sind geändert):