(OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Hallo Liste,
von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen TCP/IP
Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache 1.3.26 (SuSE
gepatchet). Hier ein firewall Eintrag als Beispiel:
Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378
DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
ID,DPT und DST sind variabel. Alles andere konstant. Die Packete kommen so ca.
alle 10 Minuten, dann immer 6 im Abstand von einigen Sekunden.
Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam
ein einzelnes Packet:
Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
Chkrootkit zeigt nichts an.
Es laufen auf dem Rechner keine 'ordentlichen' Programme, die von sich aus
Kontakt nach draußen aufnehmen.
Hab jemand eine andere Erklärung als 'übernommen worden'? Sonst werde ich das
System neu aufsetzen müssen. Diesmal Debian SID.
Danke, Tim
Reply to: