uplad in pfile durch hacker

den SSH-Dämon auf einem anderen Port laufen lassen[/quote]
Hilft begrenzt. Es ist zu beobachten, dass die Scanner nun auch andere Ports scannen.

einen eigenen User anlegen der sich gerademal per SSH anmelden darf[/quote]
PermitRootLogin ist ein guter Schritt. Bitte noch mit Key-Authentifizierung kombinieren.

dann per \"su\" als root anmelden[/quote]
Schlechte Idee. Lieber Befehle per sudo aufrufen. Wer ständig root ist macht leicht kritische Sachen kaputt.
nb:
Man sollte gelegentlich ein Backup von Files und deren Meta-Infos machen. aide oder tripwire sind auch nicht übel.

[efcidstein]

so, die log-files hatte ich mittlerweile bekommen. allerdings kann ich daraus nicht viel erkenne.
in der access_log.txt war folgendes, für den in frage kommenden zeitraum ersichtlich:
87.118.96.178 - - [30/Nov/2006:17:49:08 +0100] \"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1\" 400 303 \"-\" \"-\"
87.118.96.178 - - [30/Nov/2006:17:49:08 +0100] \"GET /\" 400 974 \"-\" \"-\"
213.246.61.91 - - [30/Nov/2006:18:01:33 +0100] \"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1\" 400 303 \"-\" \"-\"
218.162.131.208 - - [30/Nov/2006:19:04:36 +0100] \"CONNECT 168.95.4.211:25 HTTP/1.1\" 405 961 \"-\" \"-\"
in der error_log.txt das folgende:
[Thu Nov 30 17:49:08 2006] [error] [client 87.118.96.178] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Nov 30 18:01:33 2006] [error] [client 213.246.61.91] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
die zeiten passen in etwa zum zeitpunkt des reinspielens des skriptes. aber besonders viel kann ich daraus nicht erkennen...
gibt es noch eine weitere log-datei die vielleicht näheres verbirgt?

[Powie]

das hat nüscht mit pFile zu tun..

Das hat auch nichts mit dem Hack zu tun. Keiner er Aufrufe war erfolgreich (400er-Statuscodes).