Trojaner erkennen

[themonk]

Hallo,

ich habe seit ein paar Wochen das Problem, dass sobald ich meinen Linux Rechner startet die Fritzbox Probleme macht und folgende Meldung anzeigt:
Zeitüberschreitung bei der PPP-Aushandlung.
Internetverbindung wurde getrennt.

Nun vermute ich, dass es mit dem Rechner zusammenhängt. Über netstat -tapen habe ich dann noch folgendes herausgefunden. Dort steht neben den Standart Verbindungen unteranderem auch diese:

tcp 0 0 192.168.6.2:46983 175.126.82.12:6004 VERBUNDEN 0 406558 1036/gnome-terminal

Ich kann mir diese nicht erklären. Dies scheint wohl einen IP aus Seoul zu sein.
Gibt es vielleicht noch einen anderen weg um unerwünschte Software aufzuspüren und zu entfernen?

[whisper]

Erste Hilfe:

Code: Alles auswählen

iptables -I INPUT -s 175.126.82.12 -j DROP

Dein Rechner hat ein ungewöhnliches Netz. 192.168.6.2
Kann natürlich sein.
Der Port 6004 gehört zu exchange Windows what ever.
Edit: X-Windows, es scheint eine X-Forwarding Verbindung zu sein.
Läuft in deinem Netz so was in der Richtung?
Da würde ich darauf wetten, dass der Koreaner keinen Spaß daran hat.

Sollte wirklich ein Terminal gestartet worden sein, fände ich das ziemlich ungewöhnlich.
Bis ein paar Experten antworten, versuche mal rkhunter

[themonk]

Windows exchange läuft in dem Netzwerk nicht. Allerdings glaub ich, das ich damals auf dem Rechner Xorg oder einen anderen XServer installiert habe.
rkhunter hat übrigends nichts gefunden.

Was meinst du den genau mit

Da würde ich darauf wetten, dass der Koreaner keinen Spaß daran hat.

?

[whisper]

Mit DSL einfach zu geringe upload rate.
Mach derweil die IP dicht.
Ach ja und in der Fritzbox schon mal nach den PORT Weiterleitungen gesehen? Etwas offen, da?

[Blackbox]

Eigentlich kann es bei einer Kompromittierung deines Systems nur einen professionellen Tipp geben.

Persönliche Daten sichern, Neuinstallation angehen.
Das System erst sicher [1] konfigurieren, bevor es das nächste Mal ins Netz darf.
Ja, das ist mit Arbeit verbunden.

[1] http://www.debian.org/doc/manuals/secur ... ex.de.html

Weiterhin würde ich die Fritzbox auf den Auslieferungszustand zurücksetzen, die aktuellste Firmware für dein Gerät einspielen und dann erst die Fritzbox mit den Daten deines ISPs wieder online gehen lassen.

Am Besten, du fängst mit der Fritzbox an.
Auf dem Desktopsystem keine Serverdienste betreiben, zumindest keine die ins Internet durchgereicht werden.

[mistersixt]

Aus Interesse aber vielleicht den Rechner oder die Platte "aufheben" und Jugend-Forscht betreiben, angefangen mit den Tools rkhunter und chkrootkit. Aber wie schon Blackbox sagte: am besten eine Neuinstallation starten.

Gruss, mistersixt.

[themonk]

Danke erstmal für eure Hilfe. Habe den Rechner heute neuinstalliert und nun läuft auch das Internet wieder

[Blackbox]

Hast du bei deiner Neuinstallation wenigstens den einen, oder anderen Sicherheitshinweis aus dem Debian Sichereheitshandbuch übernommen und dein System etwas besser abgesichert ?
Sonst wirst du über kurz, oder lang ein ähnlich gelagertes Problem bekommen.

Kannst du bitte den Thread als [gelöst], oder [erledigt] markieren, indem du in die Betreffzeile deines ersten Postings vor den eigentlichen Text einfügst.
Danke !