PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trojaner oder nicht?...


user0815
22.11.04, 22:03
Hallo zusammen.
Ich hab da ein kleines Problem bei dem mal ein paar Tips brauchen könnte.

Ich habe vorhin auf meinem Server ein netstat ausgeführt und dabei etwas gefunden was mich stutzig gemacht hat.
Da lief etwas das sich blackjack nennt auf Port 1025.
Bei meiner Suche durchs Netz hab ich alles mögliche über Trojaner gefunden.
Meist wird es als Windowstrojaner beschrieben der für Linux harmlos ist.
Woanders liest man es wär generell harmlos.
Aber was ist wirklich dran???

Was mich besonders stutzig macht ist das es eine der IP's aus der netstatausgabe in meinem LAN nciht gibt.



Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.111.198:ssh 192.168.111.9:blackjack VERBUNDEN


Die 192.168.111.198 ist ein FileServer die 192.168.111.9 gibt es im LAN nicht.

Weiter hab ich im Gateway das umgekehrte gefunden.


Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.111.9:blackjack 192.168.111.198:ssh VERBUNDEN




Was hat das zu bedeuten???
Wie gefährlich ist es???

UND VOR ALLEM: Wie finde ich raus was hier ab geht????



Vielen Dank im Voraus!!!!

user0815
tictactux
22.11.04, 23:18
Das heißt nur, daß Du evtl SuSE benutzt ;) , und in der auf dem Rechner
vorhandenen /etc/services der Port 1025 blackjack heißt.
Was nichts über den Prozeß sagt, der momentan diesen
Port benutzt.
Welche IP hat denn der Gateway, wenn nicht *.9 ?
user0815
23.11.04, 06:43
Der Gateway hat *.197
tictactux
23.11.04, 11:03
Dannn prüfe ob Du den *.9 anpingen kannst, und was
'arp -a' als MAC-Adresse dafür ausgibt (könnte Hinweise auf
den Hersteller der Netzwerkkarte liefern).

Ist der Gateway vielleicht ein Wireless Router ;) ?
user0815
23.11.04, 18:07
Ja, SuSE stimmt.
Aber es is kein WLAN und ich kann die IP auch nicht pingen oder so.

Aber was könnte sich dahinter verbergen.

PS: War über Tag weg und ist jetzt wieder in der netstat zu finden.
PPS: Was hat das mit Suse zu tun?

Danke

user0815
IT-Low
23.11.04, 18:46
PS: War über Tag weg und ist jetzt wieder in der netstat zu finden.


Welcher Prozess macht den Port denn auf? (netstat -ap)
tictactux
23.11.04, 18:52
Aber was könnte sich dahinter verbergen.
PS: War über Tag weg und ist jetzt wieder in der netstat zu finden.
Das ist dann schon merkwürdig. Liefert 'arp -a' nichts ?
Fällt denn ungewöhnlicher Netzwerktraffic auf (LEDs) ?

Installiere chkrootkit, rkhunter und laß sie laufen.
Falls noch nicht geschehen, aktiviere die SuSE Firewall,
und schau in evtl. vorhandene Log-Dateien (auf SuSE-Rechner und
Gateway).


PPS: Was hat das mit Suse zu tun?
ist die einzige Distribution von der mir zufällig bekannt ist, daß
sie diesen Eintrag (1025/blackjack) in /etc/services hat (wobei diese
Datei bei SuSE riesig ist, verglichen mit anderen).

Viel Erfolg
cane
24.11.04, 12:05
ist die einzige Distribution von der mir zufällig bekannt ist, daß
sie diesen Eintrag (1025/blackjack) in /etc/services hat

Ich erinner mich verschwommen daran das bei Scans von Windows Maschinen der Service auch öfter mal auftaucht...

cane