Nein, denn in dem Fall hätte er auch unbedingt als erstes das root-passwort ändern sollen. Ansonsten ist da nichts mit Sicherheit...
Du hast nicht ganz unrecht, ABER ...
... wenn wir die Geschichte, die ich versucht hab anzusprechen, weiterspinnen (so wie sie in meinem chaotischen Hirn kurz aufblitzte), dann wirst du merken, das es nicht so einfach ist.
Da der "Techniker" vollen Zugriff zum System hatte, wäre es ihm ein leichtes
- selbst ein rootkit zu installieren (root-pwd geändert ... na und)
- einen Account anzulegen, der ihm vollen Zugriff gewährt, unabhängig vom root-Account (root-pwd geändert ... na und)
- einen Daemon einzurichten, der ihn über eine eventuelle Änderung des root-pwds informiert (root-pwd geändert ... na und)
- ...
Wenn der "Techniker" soviel "kriminelle" [Energie/Dummheit] aufbringt, einen DoS-Angriff vom Server aus zu starten, dann trau ich ihm zu, eine der oben genannten Vorkehrungen zu treffen.
Um es mal ganz klar zu sagen: "Dieses System ist kompromitiert und ich würde nicht mal den kleinen Finger für die Integrität der Daten ins Feuer legen.
Der einzig sichere Weg wäre meiner Ansicht nach
- Server vom Netz
- die Daten zu sichern
- den Server neu aufzusetzen
- die Konfigurationen neu machen
- nach genauer Überprüfung der Daten, diese wieder aufzuspielen. (keine Binaries, keine Config-Philes, ...)
Mit Daten meine ich in dem Fall reine Textdateien (ohne Macros). Selbst entwickelte Software sollte aus einem überprüften Source neu kompiliert werden und diese neuen Binaries zum Download angeboten werden. ... etc.
Und mal ganz unter uns: Welcher [Laie/HobbyLinuxUser/...] ist in der Lage, diese Probleme ohne Hilfe zu lösen?
@hystuttgart: Du siehst, mit einem einfachen Überspielen der Logfiles ist die Arbeit nicht getan. Mein Tip, such dir einen Admin dem du vertraust (und der Ahnung hat) und überlasse es seinem fachlichen Können.