Am 2004-09-24 12:03:15, schrieb Tim Ruehsen: > Hallo Liste, > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2 > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378 > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0 michelle@michelle1:~ > host 66.196.90.50 50.90.196.66.in-addr.arpa domain name pointer lj1034.inktomisearch.com. Ist Dir diese Domain bekannt ? > ID,DPT und DST sind variabel. Alles andere konstant. Die Packete kommen so ca. > alle 10 Minuten, dann immer 6 im Abstand von einigen Sekunden. > > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam > ein einzelnes Packet: > > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2 > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63 > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0 michelle@michelle1:~ > host 62.109.118.250 250.118.109.62.in-addr.arpa domain name pointer b118250.adsl.hansenet.de. Wo seit ihr (ISP) ? Aber eine Länge von 40 Bytes ? Versuch doch mal das VOLLSTÄNDIGE Paket zu erwischen... Manchmal ist der Inghalt hanz interessant. > Chkrootkit zeigt nichts an. > Es laufen auf dem Rechner keine 'ordentlichen' Programme, die von sich aus > Kontakt nach draußen aufnehmen. > > Hab jemand eine andere Erklärung als 'übernommen worden'? Sonst werde ich das > System neu aufsetzen müssen. Diesmal Debian SID. > > Danke, Tim Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature