B
blob
Guest
Ich bin schon weg aber hab nochmal ein Problem
Heute war wieder ein Russe in meiner Mühle.
Firestarter hat angezeigt eine Verbindung von mir zu me-ga.net, auf ports > 1024, aber nicht das lfnd. Programm oder sonstige Einzelheiten dieser Verbindungen. Zuvor waren von diesem Absender erfolglos ports 22, 23 u.a. abgesucht worden
Mit netstat, iptraf, fuser -n X P, ps -el habe ich nichts gefunden
Eine normalerweise ungemountete Partition mit neuer Installierung, gemountet, chroot, dort mount proc, ps -elf , hat auch nichts zusätzliches gezeigt
Firestarter hat die Verbindung als aktiv angezeigt bis ich die Verbindung unterbrochen und danach eine andere IP erhalten habe.
Ich wollte wissen, was gibt es denn für andere Programme, die noch ausführlicher lfnd. Prozesse zu offenen ports angeben, sodaß man die betreffenden Programme finden und löschen kann
Aug 29 11:39:59 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41789 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=12484 DF PROTO=TCP SPT=80 DPT=1252 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:40:09 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41790 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=33587 DF PROTO=TCP SPT=80 DPT=1338 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:41:35 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41791 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=12485 DF PROTO=TCP SPT=80 DPT=1252 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:41:45 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41792 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=33588 DF PROTO=TCP SPT=80 DPT=1338 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Mein phpBB2 Forum wurde vom selben besucht, aber da ist nichts Verdächtiges in den logs.
Heute war wieder ein Russe in meiner Mühle.
Firestarter hat angezeigt eine Verbindung von mir zu me-ga.net, auf ports > 1024, aber nicht das lfnd. Programm oder sonstige Einzelheiten dieser Verbindungen. Zuvor waren von diesem Absender erfolglos ports 22, 23 u.a. abgesucht worden
Mit netstat, iptraf, fuser -n X P, ps -el habe ich nichts gefunden
Eine normalerweise ungemountete Partition mit neuer Installierung, gemountet, chroot, dort mount proc, ps -elf , hat auch nichts zusätzliches gezeigt
Firestarter hat die Verbindung als aktiv angezeigt bis ich die Verbindung unterbrochen und danach eine andere IP erhalten habe.
Ich wollte wissen, was gibt es denn für andere Programme, die noch ausführlicher lfnd. Prozesse zu offenen ports angeben, sodaß man die betreffenden Programme finden und löschen kann
Aug 29 11:39:59 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41789 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=12484 DF PROTO=TCP SPT=80 DPT=1252 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:40:09 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41790 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=33587 DF PROTO=TCP SPT=80 DPT=1338 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:41:35 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41791 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=12485 DF PROTO=TCP SPT=80 DPT=1252 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Aug 29 11:41:45 localhost kernel: Inbound IN=eth0 OUT= MAC=00:10:b5:8f:73:86:00:16:ae:b6:21:9a:08:00 SRC=192.168.1.1 DST=192.168.1.5 LEN=576 TOS=0x00 PREC=0xC0 TTL=64 ID=41792 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.1.5 DST=194.150.174.50 LEN=1500 TOS=0x00 PREC=0x00 TTL=63 ID=33588 DF PROTO=TCP SPT=80 DPT=1338 WINDOW=6432 RES=0x00 ACK URGP=0 ] MTU=1492
Mein phpBB2 Forum wurde vom selben besucht, aber da ist nichts Verdächtiges in den logs.
Last edited by a moderator:
Ohne Argument gibt es alle Verbindungen an. Und da hab ich gleich schon ein paar Chinesen gefunden Das tu ich gleich mal in ein cron-job, lasse alle 5 Min. ein Protokoll machen, und gucke dann was so alles bei mir läuft an Programmen wovon ich noch garnichts weiß ...