In de afgelopen paar dagen heb ik al 2 abuse meldingen ontvangen over een server. Schijnt dat de server brute force doet op poort 22. Dit heb ik kunnen achterhalen door alle uitgaande verbindingen te loggen met iptables. Ik zie inderdaad een heleboel uitgaande verbindingen op poort 22 op random IP adressen.
Via 'ps' kom ik geen vreemd process tegen.
Via 'netstat' zie ik dat er geen verbindingen actief zijn.
Rootkit hunter kan geen rootkit vinden.
Bestand /etc/passwd ziet er schoon uit.
In welke hoek kan ik nog meer zoeken?