PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ungewollte ausgehende Verbindung, wie ermittelt man den Prozess?



twisted.boy
11.01.06, 11:57
Hallo zusammen,

ich habe mittels iptables ein log der ungewollten Verbindungen erstellt.
Ich habe dort einträge die ich nicht verstehe. Zwei Dinge sind mir nicht erklärbar. Eine Ausgehende Verbindung für wohl NTP, da der DPT 123 ist. Ich habe auch eine ID im log, kann aber nicht herausfinden welche Anwendung dies ist. Wie macht man dies?

Dann habe ich noch eine ausgehende Verbindung auf DPT=25 was wohl telnet ist.
Der Telnet geht sogar auf einen wohl bekannten Rechner, der NTP aber auf einem im WWW.

Wie komme ich an die dazu gehöhrigen Anwendungen?
Ein Rootkit ist laut rkhunter oder chkrootkit nicht auf dem Rechner.

Greetz

Twisted

mkahle
11.01.06, 12:15
für ntp Pakete wird wohl ntpd oder xntpd verantwortlich sein. Ggf auf ntpdate (z.B. per cron aufgerufen)

25/TCP ist smtp (ausgehende Mails)

BSM
11.01.06, 18:32
Wenn es gerade geloggt wurde könntest du netstat -altp benutzen (alle TCP Verbindungen mit Prozess) benutzen um zu schaun. Sofern es eine Prozess-ID ist die in den Logs steht hast du schlechte Chancen, da man IMO nicht rückverfolgen kann welche IDs welche Namen hatten.

Gruß Robert