Port 7289

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Port 7289

Beitrag von romulus » 13.08.2003 22:24:56

Hat jemand von euch eine Ahnung was auf Port 7289 für ein Dienst läuft? Stehe hier momentan im Dauerbeschuss:

Code: Alles auswählen

erde:~# cat /var/log/messages |grep "DPT=7289"|wc -l
   9529
für 2-3 Stunden stand der Zähler noch bei ~3500. Ne Suche auf google hat leider nicht wirklich gute Ergebnisse erzielt. Vielleicht irgendein P2P Programm? Die bekannten Programme wie emule, Bittorrent können es eigentlich nicht sein, die laufen (zumindest standardmässig woanders)

Und während des Schreibens des Artikels ist der Zähler schon auf 9903 hochgeschnellt 8O
Ciao
Romulus

dm
Beiträge: 34
Registriert: 12.08.2003 23:39:28
Wohnort: Waltrop

Beitrag von dm » 13.08.2003 23:14:18

Hi

mach doch mal ein

Code: Alles auswählen

lsof -i
Vielleicht sieht man dann ja, welcher Prozess/Daemon auf dem Port lauscht.
u.U. bist du dann etwas schlauer. netstat auch schonmal ausprobiert?

romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Beitrag von romulus » 13.08.2003 23:32:47

nein nein, du hast mich falsch verstanden. Ich werd überschüttet mit Verbindungsversuchen auf diesen Port von aussen und die iptables Regeln verhindern dass es funktioniert.

Zählerstand: 13546
Ciao
Romulus

sschock
Beiträge: 473
Registriert: 18.11.2002 05:18:38
Wohnort: Köln
Kontaktdaten:

Beitrag von sschock » 14.08.2003 00:29:53

Hi, ich habe zwar keine Ahnung, mit IPtables und ähnlichem, habe ein wenig gesucht und herausgefunden, das Port 7289 unassigned ist...

Hier ne Liste mit Ports und den dazugehörigen Diensten:

http://www.iana.org/assignments/port-numbers

hier ne Seite mit bekannten von Trojanern verwendeten Ports:

http://www.sans.org/resources/idfaq/oddports.php

Grüsse

sschock
Wo das Chaos auf die Ordnung trifft, gewinnt meist das Chaos, weil es besser organisiert ist.
-Friedrich Nietzsche-

jabber-ID: sschock@amessage.de

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 14.08.2003 00:39:21

Ich würde mal auf den komischen Virus tippen. Ich glaub versucht über einige Ports mit anderen infizierten Rechnern zu komunizieren...such mal bei heise, da hatte ich das gelesen.

by, Martin
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

zeroK
Beiträge: 52
Registriert: 29.04.2003 16:54:03

Beitrag von zeroK » 14.08.2003 13:55:59

Ein bisschen OT, aber ab wann würdet ihr den Provider des Angreifers wegen Missbrauchs kontaktieren?
Debian SID

Benutzeravatar
Beowulf666
Beiträge: 1476
Registriert: 06.10.2002 14:03:08
Wohnort: Lübeck
Kontaktdaten:

Beitrag von Beowulf666 » 14.08.2003 14:02:57

gar nicht.
Wir kriegen hier auch dauernd Mails rein, mit (O-Ton) "Ich wurde von einer Ihrer IPs angepingt, bitte unterlassen Sie das!" 8O
Sowas kommt halt vor, ist aber nicht zu verhindern.

P2P ist es nicht, die Programme machen sowas nicht. Kommt das alles von einer IP?
Wenn ja, würd ich ne Firewallregel "drop" dadrauf setzen. 99% der Scriptkiddies werden durch sowas ausgebremst.
Wenn das von verschiedenen IPs kommt, würd ich auf den Wurm oder ne Mutation davon tippen.
Jetzt auf SID mit Kernel 2.6.16.1 + XOrg + XFCE4.2.3: Noch mehr POWER!!!!
Next Step: Binford 8000 Super Debian ;-)

Benutzeravatar
suntsu
Beiträge: 2947
Registriert: 03.05.2002 10:45:12
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: schweiz
Kontaktdaten:

Beitrag von suntsu » 14.08.2003 14:27:45

fuser -uv 9529/tcp eingeben.

Antworten