Linux Trojaner???

Dieses Thema im Forum "Security Talk" wurde erstellt von -avenger-, 06.05.2005.

  1. #1 -avenger-, 06.05.2005
    Zuletzt bearbeitet: 07.05.2005
    -avenger-

    -avenger- Jungspund

    Dabei seit:
    25.01.2004
    Beiträge:
    17
    Zustimmungen:
    0
    Ort:
    Munich
    Habe foglendes Problem:

    Firestarter zeigt mir eine ständige Verbindung auf 212.11.63.254 an, ebenso der Befehl netstat -va mit dem Status "TIME". Ab und an zeigt mir das FW-Tool an das ab und an 0.4 KB gesendet werden.

    - Timeserver hab ich nicht an
    - chrootkit hat nichts gefunden
    - sonstige "Featerus" (z.B. www.weather.com) sind aus

    Ein traceroute geht ins Nirvana und ein nmap sagt mir das der Port 80 auf dem Host offen ist, zu sehen ist folgende (tolle) Website:

    http://212.11.63.254

    Die Verbindung ist ausgehend auf Port 80 zu 212.11.63.254

    Nutze FC3 + alle Updates (auf meinem Notebook, X=GNOME), hat jemand ne Idee? Weitere Infos (z.B. Herkunft der IP, wie z.B. Land etc.) würden mir schon helfen.

    thx a lot,
    avenger
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    du hast da oben zwei verschiedene ip-nummern angegeben aber bei mir war auch so eine verbindung vorhanden:
    root@dramen:~# netstat -av | grep 212
    tcp 0 0 www.dramen.at.tt:34026 212.11.63.254:http ESTABLISHED

    weiß zwar nicht genau wofür die adressen stehen aber mit ...
    root@dramen:~# iptables -A INPUT -i 212.11.63.254 -p tcp -j DROP
    root@dramen:~# iptables -A INPUT -d 212.11.63.254 -p tcp -j DROP
    ... war ich den eintrag wieder los.

    root@dramen:~# host 212.11.62.254
    254.62.11.212.in-addr.arpa domain name pointer infoplus-6.clients.easynet.fr. :think:
    root@dramen:~# host 212.11.63.254
    Host 254.63.11.212.in-addr.arpa not found: 3(NXDOMAIN)
     
  4. #3 -avenger-, 07.05.2005
    -avenger-

    -avenger- Jungspund

    Dabei seit:
    25.01.2004
    Beiträge:
    17
    Zustimmungen:
    0
    Ort:
    Munich
    Danke schon mal für die Info, mich würd halt interessieren was da sendet, kann ja nicht angehen! :dreht:
    Das mit den zwei IPs war ein Tippfehler von mir und ist schon korregiert.
    Mich würde interessieren bei wem das noch so ist...
     
  5. #4 Badflower, 07.05.2005
    Badflower

    Badflower Foren As

    Dabei seit:
    07.06.2004
    Beiträge:
    87
    Zustimmungen:
    0
    Bei mir wars auch:
    netstat -av | grep 212
    tcp 0 0 slackware.linux:32803 212.11.63.254:http TIME_WAIT
     
  6. tuxman

    tuxman Jungspund

    Dabei seit:
    27.02.2003
    Beiträge:
    16
    Zustimmungen:
    0
    Ist das nicht ein Michelin Männchen?

    Auch ich habe diese Verbindung. Was habe ich mit viamichelin zu schaffen:


    ping www.viamichelin.com
    PING www.viamichelin.com (212.11.63.254) 56(84) bytes of data.

    --- www.viamichelin.com ping statistics ---
    7 packets transmitted, 0 received, 100% packet loss, time 6000ms
    :think:
     
  7. #6 busfahrer, 07.05.2005
    busfahrer

    busfahrer brumm brumm

    Dabei seit:
    07.05.2005
    Beiträge:
    36
    Zustimmungen:
    0
    Aus netstat(8):

    Code:
    -p, --program
        Show the PID and name of the program to which each socket belongs.
    
    Ist doch nen Versuch wert, oder?
     
  8. #7 -avenger-, 08.05.2005
    -avenger-

    -avenger- Jungspund

    Dabei seit:
    25.01.2004
    Beiträge:
    17
    Zustimmungen:
    0
    Ort:
    Munich
    www.viamichelin.com auf der Seite war ich zwecks Routenplanung, das stimmt, aber warum zum %@&§ hält der die Verbindung so lange aufrecht ??? ;)

    Danke schon mal für die Infos!
     
  9. dramen

    dramen Routinier

    Dabei seit:
    13.01.2005
    Beiträge:
    356
    Zustimmungen:
    0
    Ort:
    Wien
    ich war noch niemals auf dieser seite
     
  10. #9 StyleWarZ, 08.05.2005
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    tcp 0 0 leitws-01.leitste:56473 212.11.63.254:www TIME_WAIT
    tcp 0 0 leitws-01.leitste:56472 212.11.63.254:www TIME_WAIT


    bei mir auch...
     
  11. tuxman

    tuxman Jungspund

    Dabei seit:
    27.02.2003
    Beiträge:
    16
    Zustimmungen:
    0
    Was ist nun damit weiss einer mehr?
     
  12. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Sobald du busfahrers Tip befolgt hast möglicherweise ja ;o). Mit Netstat solltest du rausfinden können, welches Programm die Verbindung aufgenommen hat.

    Wurden die Maschinen zwischenzeitlich rebootet?

    Gruss
    Joel
     
  13. #12 StyleWarZ, 17.05.2005
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    die maschinen wurden frisch gebootet

    guck mal ---> leitws-01.leitste:56473 <--- WS ;)
     
  14. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Ja, aber den Prozess, welcher die Verbindung aufmacht sollten wir wissen ;o)
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 StyleWarZ, 17.05.2005
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    wie geht das mit netstat. dann guck ich mal. nimmt mich wunder ob das bei der neuinstall von suse (seit fr) auch schon drin ist! vorher wars gentoo
     
  17. .eg

    .eg Eroberer

    Dabei seit:
    11.08.2004
    Beiträge:
    64
    Zustimmungen:
    0
    Gruß
     
Thema:

Linux Trojaner???

Die Seite wird geladen...

Linux Trojaner??? - Ähnliche Themen

  1. Linux.Encoder.1: Verschlüsselungstrojaner unter Linux

    Linux.Encoder.1: Verschlüsselungstrojaner unter Linux: Einem Bericht von Dr.Web zur Folge sorgt ein Verschlüsselungstrojaner unter Linux für Ärger. Der Schädling verschlüsselt Dateien und fordert von...
  2. Linux-Varianten eines fortschrittlichen Trojaners für Windows entdeckt

    Linux-Varianten eines fortschrittlichen Trojaners für Windows entdeckt: Die Linux-Varianten basieren auf dem Trojaner Turla, den Forscher der Sicherheitsunternehmen Kaspersky Labs und Symantec im Jahresverlauf...
  3. Banking-Trojaner für Linux: Einstweilige Entwarnung

    Banking-Trojaner für Linux: Einstweilige Entwarnung: Der Trojaner »Hand of Thief«, der in Untergrundforen als Banking-Trojaner für Linux zum Kauf angeboten wurde, kann einer neuen Analyse zufolge so...
  4. Banking-Trojaner für Linux analysiert

    Banking-Trojaner für Linux analysiert: Forscher des Antivirusherstellers Avast haben eine detaillierte Analyse des mutmaßlich ersten Banking-Trojaners veröffentlicht. Demnach haben sich...
  5. Banking-Trojaner für Linux aufgetaucht

    Banking-Trojaner für Linux aufgetaucht: Der Trojaner »Hand of Thief« wurde von russischen Kriminellen speziell für die Linux-Plattform gebaut und wird für 2.000 US-Dollar zum Kauf...