Wie ich heute feststellte stellt mein Server ständig eine Verbindung mit dem Internet über ISDN her. Hierbei wird kein Port angegeben und die Verbindung läuft über ICMP.
Feb 12 09:44:52 strauss2 kernel: OPEN: 217.0.61.240 -> 149.1.1.1 ICMP
Ständiger ICMP-zugriff auf das Internet
Re: Ständiger ICMP-zugriff auf das Internet
Hi,
sehr seltsam. Was ist 149.1.1.1 überhaupt? Er existiert wohl, ist aber nicht im DNS.
Welche ICMP-Message ist es?
Nimm einen Sniffer wie z.B. Ethereal und schau dir das mal genau an. Sollten die Pakete seltsame Daten enthalten (möglicherweise verschlüsselt), dann hast du einen Trojaner ergattert.
Wenn der Sniffer läuft, dann kille nacheinander alle in Frage kommenden Programme, bis die ICMP-Messages aufhören. Dann hast du den Verursacher.
Gruß,
hjb
sehr seltsam. Was ist 149.1.1.1 überhaupt? Er existiert wohl, ist aber nicht im DNS.
Welche ICMP-Message ist es?
Nimm einen Sniffer wie z.B. Ethereal und schau dir das mal genau an. Sollten die Pakete seltsame Daten enthalten (möglicherweise verschlüsselt), dann hast du einen Trojaner ergattert.
Wenn der Sniffer läuft, dann kille nacheinander alle in Frage kommenden Programme, bis die ICMP-Messages aufhören. Dann hast du den Verursacher.
Gruß,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?
Re: Ständiger ICMP-zugriff auf das Internet
Eigenartig:
Seit deiner Nachricht ist dieser Effekt nicht wieder aufgetreten. Vorher jedoch über Stunde, in denen die Verbindung sich ediglich mit Hilfe von isdnctrl trenen ließ. Ist dieser Effekt, insbesondere der Zugriff auf die IP-Adresse 149.1.1.1 beiu anderen ebenfalls aufgetreten?
NilsL
Seit deiner Nachricht ist dieser Effekt nicht wieder aufgetreten. Vorher jedoch über Stunde, in denen die Verbindung sich ediglich mit Hilfe von isdnctrl trenen ließ. Ist dieser Effekt, insbesondere der Zugriff auf die IP-Adresse 149.1.1.1 beiu anderen ebenfalls aufgetreten?
NilsL