Wer erinnert sich noch? Vor einiger Zeit war ich gepwnd! und wußte nicht genau, wo darin der Ursprung lag. Die heutige Heise-Meldung zum Linux-Wurm Lupper bringt da ein wenig Aufschluß:

Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen sind unter anderem gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl “netstat -an –inet” auflisten lassen.

Das trifft doch sehr genau die Situation die ing und ich damals vorgefunden haben. Zumal dies sich scheinbar über die Schwachstelle in AWstats eingeschlichen hat. Seit dem der Gateway nun schon einige Zeit abgesichert ist konnte ich keinen weiteren Eindringling feststellen.
Dummerweise hatte ich aber immernoch eine ungepatchte Software und die sogar auf dem vServer laufen. Aber nachdem ich die Security-Fixes im Mambo-Support-Forum durchgegangen bin sollte das CMS hoffentlich soweit wieder abgedichtet sein. Bisher konnte ich glücklicherweise noch keine Malware auf dem vServer feststellen. Denn nur weil ich jetzt immer BackUps habe, die up2date sind brauch ich ja dann aber doch nicht fahrlässig mit den Anwendungen umgehen *hust*