Ich habe zur Zeit Traffic auf meinem Router, den ich nicht zuordnen kann. Es wird in unregelmäßigen Zeitabständen Kontakt mit einer wechselnden IP des Providers telepac aufgenommen, immer TCP auf Port Port 16000. Dabei werden meist kleine Datenpakete ausgetauscht (0-200 Bytes). Habe mir das ganze mit tcpdump angeguckt, auch mit "-A" um den Inhalt sehen zu können. Nichts lesbares, ein einziges mal wurde der String "Linux" übertragen.
Die Frage ist nun, ob mein Router nen rootkit oder ähnliches installiert hat. Läßt sich irgendwie feststellen, welche Anwendung den Traffic generiert ?
Für's erste hab ich mal den IP-Bereich geblockt.
