Hi,

ich habe zu einer bestimmten Uhrzeit immer sehr viel Outbound-Traffic über den SSH Port 22.

netstat -a ergab folgendes:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:6051 *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:www-http *:* LISTEN
tcp 0 0 *:x11 *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 localhost:smtp *:* LISTEN
tcp 0 0 localhost:953 *:* LISTEN
tcp 0 0 *:https *:* LISTEN
tcp 0 0 s006.XXX:https spider.neofonie.d:52477 TIME_WAIT
tcp 0 0 localhost:8005 *:* LISTEN
tcp 0 0 *:8009 *:* LISTEN
tcp 0 0 *:http-alt *:* LISTEN
tcp 0 0 *:domain *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:953 *:* LISTEN
tcp 0 0 192.168.101.7:ssh 192.168.101.66:28281 ESTABLISHED
tcp 0 0 192.168.101.6:ssh 192.168.:dmod-workspace ESTABLISHED
tcp 0 0 192.168.101.6:ssh 192.168.100.128:ccmrmi ESTABLISHED
tcp 0 324 192.168.101.6:ssh 192.168.100:incognitorv ESTABLISHED
udp 0 0 *:filenet-tms *:*
udp 0 0 *:6051 *:*
udp 0 0 *:41524 *:*
udp 0 0 s006.XXX:domain *:*
udp 0 0 s006.XXX:domain *:*
udp 0 0 localhost:domain *:*
udp 0 0 *:sunrpc *:*
udp 0 0 *:filenet-rpc *:*
udp 0 0 *:domain *:*

Mittels IPTraf ist sehr gut zu sehen, dass über Port 22 sehr viel rausgeht... Mir ist aber nicht bewusst was! Wo kann ich sehen, was da genau passiert? Gibt es Logfiles, die ich diesbzgl. aktivieren kann?

Grüße

z.b. das von sshd auf debug stellen, netstat/lsof sollte die ZielIP kennen, ...

tcp 0 0 192.168.101.7:ssh 192.168.101.66:28281 ESTABLISHED
tcp 0 0 192.168.101.7:ssh 192.168.101.66:ottp ESTABLISHED
tcp 0 52 192.168.101.6:ssh 192.168.:dmod-workspace ESTABLISHED
tcp 0 0 192.168.101.6:ssh 192.168.100.128:4459 ESTABLISHED
tcp 0 0 192.168.101.6:ssh 192.168.100:incognitorv ESTABLISHED
tcp 0 0 192.168.101.6:ssh 192.168.100.128:4265 ESTABLISHED