<meta http-equiv="content-type" content="text/html; charset=utf-8"><span class="Apple-style-span" style="font-family: Verdana, Arial, Tahoma; font-size: 12px; ">Hi there,<br><br>One of my servers has recently been attacked, it has one remote SSH user which cannot run &#39;sudo&#39;, i made it like that so that if it was comprimized, no-one would be able to do much.<br>

<br>However, someone managed to gain the password to that account on the server then used &quot;vi /etc/passwd&quot; to gain a list of users, then launched a bruteforce using su against my admin account.<br>(that&#39;s what I can gather from the logs)<br>

<br>This did not get very far before I saw and kicked the user off and changed all of the passwords, but I would like to know how to prevent this sort of thing happening again.<br><br>I need to know mainly how to stop the SSH user running su in the first place and how to stop the user seeing files like /etc/passwd<br>

<br>Anyone have any suggestions?</span>