[linux-l] trojaner entdecken

[Uwe Berger]

MoinMoin,

> udp        0      0 0.0.0.0:32770           0.0.0.0:*                     
>     
> udp        0      0 0.0.0.0:5353            0.0.0.0:*                     
>     
> udp        0      0 0.0.0.0:111             0.0.0.0:*                     
>     
> udp        0      0 0.0.0.0:631             0.0.0.0:*                     
>     
>
diese Einträge halte ich erstmal für unkritisch, ist irgendwas Internes (lasse mich aber auch gern eines besseren belehren)...


> Warum bleibt die immer stehen?
> 
> tcp        0      0 90.186.126.22:51091     192.109.42.8:465       
> ESTABLISHED
> 
> 
> Die war 2 Sekunden da.
> 
> tcp        0      0 90.186.249.74:34889     190.75.46.169:9030     
> ESTABLISHED
> 
>
hier wird es spannender: das sind die Verbindungen, die ins Internet gehen und irgend was machen. Als Erstes mal schauen, was das so für Server sind:

whois <ip-adresse>

Wenn etwas unbekanntes dabei ist, sich fragen warum... Und darüber nachdenken, wie dein Netzwerk aufgebaut/konfiguriert ist (Router, DNS, Mailserver usw.). Vielleicht sind ja einige Verbindungen korrekt, weil z.B. Mails abgefragt/geschickt werden. Aber wie gesagt, jetzt kommt es darauf an, wie es speziell bei dir aussieht und was du gerade am Rechner machst.

> Was kann man jetzt machen?
> 
Mit der netstat-Option -p bekommt man auch das Programm angezeigt, welches auf deinem Rechner die Verbindung geöffnet hat. Auch hier sollte man sich hinterfragen, ob es richtig ist, dass Programm xyz ins Internet geht...


Gruß Uwe

-- 
-----------------------------------
Brandenburger Linux User Group e.V.
Internet....: http://www.bralug.org
E-Mail......: mailto:info at bralug.de
-----------------------------------

"Feel free" - 5 GB Mailbox, 50 FreeSMS/Monat ...
Jetzt GMX ProMail testen: http://www.gmx.net/de/go/promail?ac=OM.GX.GX003K11711T4781a