Hallo!

Ich wollte eben via Jabber eine Datei versenden (dort habe ich Port 3000) eingestellt. Das hat davor auch mit 2 Dateien geklappt, doch dann kam auf einmal die Meldung, der Port sei belegt. Also guck ich nach via netstat und er ist tatsächlich offen. Das hat mich verwundert, also hab ich ein lsof hinterher gehauen und das meinte dann, Firefox würde Port 3000 öffnen. Das sonderbare daran ist jetzt aber, daß Port 3000 ausgerechnet einer der wenigen Ports ist, die nach außen geroutet werden.
Leider war ich so dumm und habe einfach das Firefox-Fenster geschlossen, statt mal via netcat auf den Port zu connecten. Nachdem das Fenster zu war, war dann auch der Port wieder zu.
Ich war lediglich auf Youtube, d.h. Flash-Plugin war geladen.
Hat jemand da ähnliche Erfahrungen gemacht? Ich vermute fast, daß der Firefox vorher auf einer anderen Seite kompromittiert wurde :(. Ich mein, ein Programm öffnet doch nicht einfach so Ports? Und Google wußte auch nichts.
Nach einem Neustart ist das jetzt übrigens nicht mehr vorkommen. Gibt es evtl. irgendwelche Programme, die einen Benachrichtigen können, wenn wieder ein Programm versucht, einen Port zu öffnen? Evtl. sollte ich jetzt auch mal chkrootkit drüberlaufen lassen?

Port 3000 ist normalerweise für HBCI.

Das war das einzige, was mir auch Google ausgespuckt hat. Aber ich nutze nichts der gleichen. Es ist bisher auch nicht wieder vorgekommen, daß Firefox Port 3000 öffnet.
Flash lässt sich vermutlich doch ausschließen, da das Plugin das listen() symbol nicht aufweist.
chkrootkit hat übrigens nichts ausgespuckt. Ich vermute, daß eine Kompromittierung wenn eh nur auf Userebene stattgefunden hat.
Zum Spaß hab ich mal ein netcat auf Port 3000 geöffnet, direkt nachdem ich Firefox geschlossen hab. Aber da ist bis jetzt kein Verbindungsversuch gewesen.