Unsichtbare Downloads

[Deleted member 10028]

Hallo Zusammen,

ich habe soeben eine Email von einem Serverbesitzer erhalten, indem er mich über einen penetranten Download informiert hat.

Zunächst habe ich mit lsof und vnstat den Traffic meines betroffenen Servers überprüft, doch dieser zeigte keine ungewöhnlichen Aktivitäten.
Da mir der Beklagte einen Screenshot eines offenen iftop-Prozesses zugeschickt hat, habe ich ebenfalls mal ein Blick in das besagte Programm geworfen, doch auch dort ist mir nichts außergewöhnliches aufgefallen.


Version des Beklagten:
Meine Version:
MOD: Bilder bitte immer als Anhang!

Mit ps aux habe ich alle offenen Anwendungen überprüft und ich konnte keine auffälligen Prozesse finden.
- Es sind keine mir unbekannten Prozesse gestartet und die aktiven Programme/Scripts sind auch alle scheinbar in Ordnung.


Nun zu meinen Fragen:
- Wie kann ich diese "unsichtbaren" Downloads nun noch ausfindig machen?
- Ich habe von einer DDoS-Methode gehört, mit der es möglich sein soll, die IP zu faken. Ist sowas überhaupt möglich?


Gruß
Julian

 

[mr_brain]

Da sind lediglich die RDNS/PTR angezeigt. Diese sind nicht eindeutig. Lass dir die gleiche Ausgabe mit IP-Adressen zuschicken.

 

[Deleted member 10028]

Vielen Dank für deine Rückmeldung.
Ich habe soeben eine weitere Ausgabe mit den tatsächlichen IP-Adressen angefordert. Nun heißt es warten.


Gruß
Julian

 

[Deleted member 10028]

Mir wurde nun ein Auszug von iftop mit den richtigen IPs zugesandt und es sind wirklich meine IPs gewesen.
Downloads konnte ich so zwar immer noch nicht feststellen, jedoch ist wohl ein IRC-Plugin dafür verantwortlich gewesen.

Seitdem ich das Plugin entfernt habe, sind diese angeblichen Downloads nicht mehr aktiv. So lautete zumindest die Aussage des Beklagten.


Gruß
Julian