PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : netstat -ln ist das eine Infektion oder Intern



Odegra
04.02.09, 22:59
Moin moin,

ich hab folgendes Problem, Vorgestern hat mir mein Browser ungefähr folgende Nachricht ausgespuckt: "You have visited a site that probably contains malware."
Danach behauptete er, das mein Comp wahrscheinlich verseucht sei und ich mir
Antivirus Software beschaffen soll. Habs mit Aviras Antivir probiert aber die Datenbanken davon sind ja schon fast ein Jahr alt.
Hat jedenfalls nichts gefunden, werde aber eine alternative brauchen. Was kommt denn da in Frage?

Dann habe ich mal netstat überprüft wie es in vielen anderen Foren empfohlen wird, dabei kam das heraus:



Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 0 *:sunrpc *:* LISTEN root 5103
tcp 0 0 *:auth *:* LISTEN root 6339
tcp 0 0 *:ssh *:* LISTEN root 5803
tcp 0 0 localhost:ipp *:* LISTEN root 6054
tcp 0 0 *:49947 *:* LISTEN root 5150 [sehr seltsam]
tcp 0 0 localhost:smtp *:* LISTEN root 6260
tcp 0 0 localhost:958 *:* LISTEN root 6411 [extrem verdächtig]
tcp6 0 0 [::]:ssh [::]:* LISTEN root 5801
udp 0 0 *:43911 *:* avahi 6454
udp 0 0 *:bootpc *:* root 51432
udp 0 0 *:973 *:* root 5135 [extrem verdächtig]
udp 0 0 *:45647 *:* root 5145
udp 0 0 *:mdns *:* avahi 6452
udp 0 0 *:sunrpc *:* root 5096
udp 0 0 *:ipp *:* root 6057
udp6 0 0 [::]:54058 [::]:* avahi 6455
udp6 0 0 [::]:mdns [::]:* avahi 6453




damit wollte ich überprüfen ob sich vielleicht jemand auswählt der eigentlich gar nicht darf. Bin aber schnell an meine Grenzen gestoßen. Weil ich nicht herausgefunden habe wie ich herausfinde wer hinter diesen Nummern steht. einzig die 51234 scheint sich als teamspeak server zu identifizieren zu lassen. Ausserdem glaube ich mich zu erinnern das die 22 von ssh benutzt wird.
Für jede Lösungsfindunghilfe wäre ich echt dankbar.

Gruß
Odegra

gadget
04.02.09, 23:25
Bist du dir sicher, dass du nicht auf sowas hereingefallen bist:
http://www.heise.de/security/Zweifelhafte-Antiviren-Produkte--/artikel/117197

Gruß,
gadget

Odegra
05.02.09, 08:51
Hmmm, ich dachte eigetnlich das Avira durchaus vertrauenswürdig ist, habe das Prog bei chiponline runtergeladen....aber sicher sein kann man nie, habe allerdings beim überprüfen von netstat herausgefunden das lediglich die 51234 und die 14534 beim nächsten hochfahren identisch sind die andere 51719 hat sich beim letzten hochfahren als 39002 herausgestellt.

Aber für wie wahrscheinlich haltet ihr es denn das ich mich beim ansurfen einer Seite...das Netzt war so langsam das ich die Seite nie gesehen habe, infiziert haben könnte? Und wonach müsste ich in diesem Fall denn gezielt suchen? Ich habe auf der Seite nicht angeklickt, schliesslich hat epiphany nach der Warnung den Geist aufgegeben und ist abgestürzt...

marce
05.02.09, 08:56
es gibt an sich recht wenige Linuxviren - von dem her würde ich mir erst mal keine Sorgen machen.

Odegra
05.02.09, 09:56
oh gut, das ist ja schon mal nicht schlecht, aber wie sieht das mit dialern und trojanern aus? Wieviele sind davon lauffähig auf Linux?

marce
05.02.09, 10:04
genau so...

Newbie314
05.02.09, 11:16
Bei ner Netstat Kontrolle empfiehlt es sich alle Verbindungen zu externen Servern die man kennt zuzumachen.. wird übersichtlicher....

Evtl. auch ein paar Dienste deaktivieren (sshd ? Brauchst du auf nem Desktop wirklich einen sshd ?)

Von Knoppix aus mal ein chkrootkit drüberlaufen lassen ?

Dass Avira alte Signaturen hat wäre mir neu. Hast du das Produkt wirklich von der Avira Seite geladen ? Ich habe bei mir AVG... der bietet regelmäßig neue Signaturen.

Gerade wegen der Scareware würde ich Antivirenprodukte nur direkt vom Hersteller herunterladen...

Odegra
05.02.09, 20:32
erstmal entschuldigt bitte, ich habe ausversehen das falsche netstat gepostet...war so in panik...*argh* hier habt ihr erstmal das richtige, ich ändere es schnell oben.

die ports die ich selsam fand hab ich dementsprechend markiert, weil ich nicht herausfinden konnte was dahinter läuft...
und sie liegen halt in einem seltsamen bereich...

achja, als virenscanner habe ich im zweiten lauf clamav aud den apt-quellen genommen....

Apoll
07.02.09, 01:23
Versuchs mal mit:

sudo netstat -tulpen
Dabei wird in einer Spalte zusätzlich der Dienst angezeigt, der hinter einem LISTEN-Port steckt und auf eingehende Verbindungen lauscht.

Die Zeile mit "localhost:958" wird nicht so schlimm sein, da dieser Port lediglich auf 127.0.0.1 gebindet ist und somit nicht übers Internet erreichbar ist.

Odegra
08.02.09, 10:48
danke, das ist ja schon mal beruhigend...habs gemacht wie du gesagt hast:



Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:971 0.0.0.0:* LISTEN 0 6512 2915/famd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 5281 2112/portmap
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 0 6440 2887/inetd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 5917 2416/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 6151 2578/cupsd
tcp 0 0 127.0.0.1:125 0.0.0.0:* LISTEN 0 6361 2846/exim4
tcp 0 0 0.0.0.0:46335 0.0.0.0:* LISTEN 0 5355 2139/rpc.statd
tcp6 0 0 :::22 :::* LISTEN 0 5915 2416/sshd
udp 0 0 0.0.0.0:54826 0.0.0.0:* 104 6555 2926/avahi-daemon:
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 8738 3325/dhclient
udp 0 0 0.0.0.0:34016 0.0.0.0:* 0 5348 2139/rpc.statd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 104 6553 2926/avahi-daemon:
udp 0 0 0.0.0.0:619 0.0.0.0:* 0 5336 2139/rpc.statd
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 5272 2112/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 6154 2578/cupsd
udp6 0 0 :::33564 :::* 104 6556 2926/avahi-daemon:
udp6 0 0 :::5353 :::* 104 6554 2926/avahi-daemon:


kann allerdings nichts finden was irgendwie seltsam aussieht...

Odegra
16.02.09, 08:03
Moin moin, also Danke nochmal für die Hilfe, habe jetzt alles ausser rootkit ausprobiert. Das folgt demnächst, gefunden hab ich aber noch nichts. Hoffentlich bleibts auch so:rolleyes:
Dank für die Hilfe nochmal

Gruß
Odegra

jimpanse
16.02.09, 22:22
Also wegen Viren und Würmern oder ähnlichem kram brauchst du dir u ter Linux keine sorgen machen. ca. 99% aller schädlinge sind für windows gebastelt. der rest sind experimentelle sachen. Von daher..... peng