[SOLVED] (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Hi und sorry!
Auf einem alten Gateway war noch eine Weiterleitung an die 192.168.11.70:80
geschaltet. Auf diesem Rechner war allerdings die Defaultroute auf ein
anderes Gateway gesetzt. Daher die Fehlermeldungen.
Ich danke Michelle und Andreas, die mich beide in die richtige Richtung
gelenkt haben.
Mfg, Tim
Am Freitag, 24. September 2004 12:03 schrieb Tim Ruehsen:
> Hallo Liste,
>
> von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen TCP/IP
> Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache 1.3.26 (SuSE
> gepatchet). Hier ein firewall Eintrag als Beispiel:
>
> Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378
> DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
>
> ID,DPT und DST sind variabel. Alles andere konstant. Die Packete kommen so
ca.
> alle 10 Minuten, dann immer 6 im Abstand von einigen Sekunden.
>
> Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam
> ein einzelnes Packet:
>
> Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
>
> Chkrootkit zeigt nichts an.
> Es laufen auf dem Rechner keine 'ordentlichen' Programme, die von sich aus
> Kontakt nach draußen aufnehmen.
>
> Hab jemand eine andere Erklärung als 'übernommen worden'? Sonst werde ich
das
> System neu aufsetzen müssen. Diesmal Debian SID.
>
> Danke, Tim
>
>
Reply to: