Linux Trojaner???

-avenger-

-avenger-

Jungspund
Habe foglendes Problem:

Firestarter zeigt mir eine ständige Verbindung auf 212.11.63.254 an, ebenso der Befehl netstat -va mit dem Status "TIME". Ab und an zeigt mir das FW-Tool an das ab und an 0.4 KB gesendet werden.

- Timeserver hab ich nicht an
- chrootkit hat nichts gefunden
- sonstige "Featerus" (z.B. www.weather.com) sind aus

Ein traceroute geht ins Nirvana und ein nmap sagt mir das der Port 80 auf dem Host offen ist, zu sehen ist folgende (tolle) Website:

http://212.11.63.254

Die Verbindung ist ausgehend auf Port 80 zu 212.11.63.254

Nutze FC3 + alle Updates (auf meinem Notebook, X=GNOME), hat jemand ne Idee? Weitere Infos (z.B. Herkunft der IP, wie z.B. Land etc.) würden mir schon helfen.

thx a lot,
avenger
 
Zuletzt bearbeitet:
du hast da oben zwei verschiedene ip-nummern angegeben aber bei mir war auch so eine verbindung vorhanden:
root@dramen:~# netstat -av | grep 212
tcp 0 0 www.dramen.at.tt:34026 212.11.63.254:http ESTABLISHED

weiß zwar nicht genau wofür die adressen stehen aber mit ...
root@dramen:~# iptables -A INPUT -i 212.11.63.254 -p tcp -j DROP
root@dramen:~# iptables -A INPUT -d 212.11.63.254 -p tcp -j DROP
... war ich den eintrag wieder los.

root@dramen:~# host 212.11.62.254
254.62.11.212.in-addr.arpa domain name pointer infoplus-6.clients.easynet.fr. :think:
root@dramen:~# host 212.11.63.254
Host 254.63.11.212.in-addr.arpa not found: 3(NXDOMAIN)
 
Danke schon mal für die Info, mich würd halt interessieren was da sendet, kann ja nicht angehen! :dreht:
Das mit den zwei IPs war ein Tippfehler von mir und ist schon korregiert.
Mich würde interessieren bei wem das noch so ist...
 
Bei mir wars auch:
netstat -av | grep 212
tcp 0 0 slackware.linux:32803 212.11.63.254:http TIME_WAIT
 
Aus netstat(8):

Code:
-p, --program
    Show the PID and name of the program to which each socket belongs.

Ist doch nen Versuch wert, oder?
 
www.viamichelin.com auf der Seite war ich zwecks Routenplanung, das stimmt, aber warum zum %@&§ hält der die Verbindung so lange aufrecht ??? ;)

Danke schon mal für die Infos!
 
tcp 0 0 leitws-01.leitste:56473 212.11.63.254:www TIME_WAIT
tcp 0 0 leitws-01.leitste:56472 212.11.63.254:www TIME_WAIT


bei mir auch...
 
Sobald du busfahrers Tip befolgt hast möglicherweise ja ;o). Mit Netstat solltest du rausfinden können, welches Programm die Verbindung aufgenommen hat.

Wurden die Maschinen zwischenzeitlich rebootet?

Gruss
Joel
 
die maschinen wurden frisch gebootet

guck mal ---> leitws-01.leitste:56473 <--- WS ;)
 
Ja, aber den Prozess, welcher die Verbindung aufmacht sollten wir wissen ;o)
 
wie geht das mit netstat. dann guck ich mal. nimmt mich wunder ob das bei der neuinstall von suse (seit fr) auch schon drin ist! vorher wars gentoo
 
Zurück
Oben