So ein Mist. Ich muss diese Maschine schon wieder als kompromittiert betrachten. Reboot vor 2 Tagen morgens um 8 MEST. Im chroot vom GnuSocial php-fpm-Pool existiert eine neue Datei .wget-hsts, obwohl der User keine Shell hat, wget oder auch nur eine echte Shell im chroot nicht existieren, in allen Logs ausserhalb von /var/log springen plötzlich die Zeitzonen je nach Logeintrag. Lynis meckert über Prozesse, die deleted files nutzen, ein find /proc/*/fd -ls | grep '(deleted)' zeigt Dateien, die eigentlich nur von nginx und php-fpm unter der uid des fpm-pools, aber nicht von root geöffnt hätten werden müssen. Stelle ich diese wieder her, sind es alle Symbolische Links auf das gleiche Verzeichnis /tmp/.ZendSem.S3NWH8\ und zwar zwei mal in chroot-Jails und einmal von root in /. Das stinkt, weil die Jails isoliert vom System sind. Ach Mann, soll ich wirklich die Kiste remote nochmal neu flashen und zwar ohne systemd und mit einem aktuellen Mainline-Kernel mit KSSP? Riskant...