linux-l: Hacker? Virus?
Dirk Marciniak
dirk at reisen-velten.de
Mo Okt 30 23:12:55 CET 2000
Halo Leute!
Ich hab ein böses Problem. Virenscanner hat keinen Virus erkannt. Aud dem
Linuxserver läuft kein Task, den ich nicht gestartet hätte. Workstation ist
eine eNTe 4.0 Station. Diese hat die Adresse 192.168.0.1. Server hat
192.168.0.255. Eingangsseitig sind alle Ports gesperrt (Firewall im
KErnel), Masquerading ist aus. Eigentlich kann doch keine VErbindung
passieren, denke ich. Es läuft SQUID 2 als HTTP-Proxy. Jetzt versucht
irgendein Prozess (ich hab keine Ahnung welcher) auf der eNTe-Kiste
HTTP-Pakete abzusetzen. Böse Falle. Kann mir einer Sagen, zu wem diese
unten gezeigten Adressen (von iptraf kopierte Ausgabe) gehen sollen????
Vielleicht kommt ich so dem "Täter" auf die Spur. Diverse Virenscanner
haben keinen Virus gefunden. Kann es sein, daß irgendeine Komponente eines
Herstellers heimlich Nachrichten schickt?
Mit welchem Tool kann ich die Pakete aufzeichnen? (hieß das tcpdump oder
so?) Hab ich aber nicht installiert, muß ich dann suchen.
hier die Aufzeichnung von iptraf... (er schickt immer 3 Pakete mit
insgesamt 132 Bytes. ist reproduzierbar :-(((
192.168.0.1:1053 212.29.215.2:http 1 44 S--- eth0 x
212.29.215.2:http 192.168.0.1:1053 0 0 ---- eth0 x
192.168.0.1:1054 209.11.42.214:http 3 132 S--- eth0 x
209.11.42.214:http 192.168.0.1:1054 0 0 ---- eth0 x
192.168.0.1:1055 212.29.215.2:http 3 132 S--- eth0 x
212.29.215.2:http 192.168.0.1:1055 0 0 ---- eth0 x
192.168.0.1:1056 209.11.42.214:http 3 132 S--- eth0 x
209.11.42.214:http 192.168.0.1:1056 0 0 ---- eth0 x
192.168.0.1:1057 212.29.215.2:http 2 88 S--- eth0 x
212.29.215.2:http 192.168.0.1:1057 0 0
---- eth0
--
mit freundlichen Grüßen
Dirk Marciniak
Velten/Land Brandenburg/Germany
-EOF
Mehr Informationen über die Mailingliste linux-l