Re: Entrada sospechosa en netstat -t

[José Ramón Bellido󮀈 <jrbellido@integraljaen.com>]

El mié, 26-05-2004 a las 16:37, Alvaro Cortes escribió:
> Hola.
> 
> En principio parece que has utilizado un navegador web y has visitado
> esa pagina. Todo normal, pero por si acaso chkrootkit y te quedas mas
> tranquilo. ( Si eres un paranoico arranca el kernel del CD de debian y
> mira si hay modulos raros o directorios como "...")

Vamos a ver, lo que me mosquea del asunto es que esta máquina es un
servidor aislado al que sólo se accede remotamente para labores de
administración y tal. Tiene varios servicios montados, pero tan sólo el
servidor Jabber es el único que debe acceder a Internet (como así
sucede). Por tanto la hipótesis del navegador queda descartada (este
servidor ni siquiera hace NAT, puesto que tengo un router).

Por otro lado, vengo observando que las conexiones se dan a intervalos
de tiempo más o menos regulares, y esto ya sí que me deja mosca.

He llegado a hacer un "netstat -tn" y obtengo que las conexiones son
hacia 65.110.55.31:80 y chkrootkit no ha detectado nada.

¿Será algún otro servicio distinto de Jabber? ¿A alguien le suena todo
esto?

Un saludo