Am 2004-09-24 12:03:15, schrieb Tim Ruehsen:
> Hallo Liste,
> Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378
> DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
michelle@michelle1:~ > host 66.196.90.50
50.90.196.66.in-addr.arpa domain name pointer lj1034.inktomisearch.com.
Ist Dir diese Domain bekannt ?
> ID,DPT und DST sind variabel. Alles andere konstant. Die Packete kommen so ca.
> alle 10 Minuten, dann immer 6 im Abstand von einigen Sekunden.
>
> Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam
> ein einzelnes Packet:
>
> Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
michelle@michelle1:~ > host 62.109.118.250
250.118.109.62.in-addr.arpa domain name pointer b118250.adsl.hansenet.de.
Wo seit ihr (ISP) ?
Aber eine Länge von 40 Bytes ?
Versuch doch mal das VOLLSTÄNDIGE Paket zu erwischen...
Manchmal ist der Inghalt hanz interessant.
> Chkrootkit zeigt nichts an.
> Es laufen auf dem Rechner keine 'ordentlichen' Programme, die von sich aus
> Kontakt nach draußen aufnehmen.
>
> Hab jemand eine andere Erklärung als 'übernommen worden'? Sonst werde ich das
> System neu aufsetzen müssen. Diesmal Debian SID.
>
> Danke, Tim
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature