Hallo!
Ich habe bei einem unserer Server per Firewall den ausgehenden Traffic verweigert. Ich sehe, dass immer wieder etwas versucht, vom Sourceport 6666 auf bestimmte IP Adressen hinauszugehen. Ohne Pause.
Der Traffic wird von der Firewall verweigert.
Aber wie finde ich nun raus, welches Programm bzw. welches Binary da raustelefonieren will?
Gewollt ist das jedenfalls nicht. Und nachdem die Zielip irgendwo in Makedonien liegt, glaube ich auch nicht dass es was mit einem Updateservice zu tun hat...
Ausgehende Verbindung - welches Programm?
weißt du denn von welchem rechner das ausgeht?
wenn das ein rootkit ist oder ähnliches wird das schwierig werden...
EDIT:
Scheint ein Virus zu sein
http://www.auditmypc.com/port/tcp-port-6666.asp
am besten mal mit einem Virenscanner checken
wenn das ein rootkit ist oder ähnliches wird das schwierig werden...
EDIT:
Scheint ein Virus zu sein
http://www.auditmypc.com/port/tcp-port-6666.asp
am besten mal mit einem Virenscanner checken
Hi!
Das kann leicht sein, seit Monaten wird an der Kiste herumgedoktert.
Aber neu aufsetzen will der Kunde nicht... Naja.
Aber wiegesagt, kann ich irgendwie herausfinden zu welchem Prozess bzw. Programm eine bestimmte ausgehende Verbindung/Session gehört?
So wie bei tcpview unter windows.
Edit: mit nethogs lassen sich ausgehende Verbindungen schön anzeigen.
Ok, dürfte wohl ein Überbleibsel des Rootkits sein, weil es gibt einen Prozess mit Pid 0, welcher schön kleinweise versucht rauszusenden. Nur den Prozess finde ich natürlich nirgends...
Problem "gelöst". lol
Das kann leicht sein, seit Monaten wird an der Kiste herumgedoktert.
Aber neu aufsetzen will der Kunde nicht... Naja.
Aber wiegesagt, kann ich irgendwie herausfinden zu welchem Prozess bzw. Programm eine bestimmte ausgehende Verbindung/Session gehört?
So wie bei tcpview unter windows.
Edit: mit nethogs lassen sich ausgehende Verbindungen schön anzeigen.
Ok, dürfte wohl ein Überbleibsel des Rootkits sein, weil es gibt einen Prozess mit Pid 0, welcher schön kleinweise versucht rauszusenden. Nur den Prozess finde ich natürlich nirgends...
Problem "gelöst". lol