Ich hab seit einiger Zeit einen Pi als 'honeypot' laufen, also von meinem LAN abgekoppelt und Standard Image mit DMZ Freigaben am Internet.
Lange Zeit passierte nicht, doch vor genau 4 Tagen hat sich jemand über den pi Benutzer angemeldet, die Passwörter vom Benutzer pi und root geändert...
Außerdem legte er für den pi Benutzer ein ssh-key an und installierte mc sowie nginx.
Über mc hat er dann mehrere Dateien für nginx hochgeladen, aber ansonsten nichts. Leider hat er ~/.bash_history , aber nur vom Benutzer pi, gelöscht.
Was mir seltsam vor kommt sind zum einen die Befehle die er ausgeführt hat: er meldet sich als root an und gibt trotzdem passwd root ein.
Zum anderen aber auch die Konfiguration des nginx Dienstes... Denn die nginx.conf lässt den Dienst als root laufen, setzt den Dienst nur als proxy für 3 verschiedene Domains ein die alle auf eine IP und Pfad zeigen welche aber nichts "anzeigt".
Kann sich hier jemand nen Reim daraus machen wofür das gut sein soll? Würde gerne den Sinn verstehen.