PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virtual Maschine Based Rootkit?



Pinguin
08.04.14, 00:52
Hi,

das hier ist mein erstes Posting, ich hoffe Ihr könnt mir helfen.

Alles fing vor etwa 4 Wochen an. Mein Windows find an recht langsam zu laufen, ich hab das auf die Updates geschoben. Jedoch war auch meine Internetverbindung sehr langsam in Bezug auf bestimmte Seiten, wie beispielsweise Google. Ich habe dann Linux Mint installiert, mehr aus Neugier am OS an sich, als aus Sicherheitsgründen. Als ich dann einmal tcpdump ausprobiert habe konnte ich etwas interessantes sichten. Nach einigen Minuten veränderte sich meine Konsole. Zunächst wurde die Schrift unlesbar, bestand plötzlich nurnoch aus Sonderzeichen. Bei einem anderen Durchgang wurde meine Schrift chinesisch. Kein Witz :D

Das Alles hat mich doch sehr nachdenklich gemacht und prompt kam das nächste Ereignis: Windows 7 (Mint wurde quasi auf die Selbe Partition drauf geschrieben) fuhr nicht mehr hoch. Es kam noch eine Fehlermeldung, dass es gefährlich wäre das System zu starten. Mit grub bin ich im Bootmenü auf die Win 7 Partition gegangen, konnte das System irgendwie starten. Seltsamerweise brauchte das Notebook im Abgesicherten Modus etwa 4-5 Minuten, bis der Desktop fertig geladen war... Nach einer Systemwiederherstellung war plötzlich MacAfee installiert. :) Dabei hatte ich dieses Programm noch nie installiert. Auf jeden Fall war mir klar, dass ich das System neu aufsetzen würde, da wirklich alles sehr sehr langsam lief und es mir die schnellste und sicherste Methode schien.

Als Nachfolger-System wollte ich etwas Neues ausprobieren und habe openSuSE 13.1 installiert. Leider habe ich etwas an den Updates falsch gemacht und konnte gleich neu aufsetzen. :ugly:

Sooo jetzt habe ich Ubuntu 12.04 und um sicherzugehen, dass kein Rootkit installiert ist, habe ich dieses Script gestartet:


int swallow_redpill () {
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m;
((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}


Es ist von " hackerzvoice.net/ouah/Red_ Pill.html"
(Ich hoffe Links sind hier erlaubt.)

Ich bin leider ziemlich unwissend, was programmierung angeht und kann daher nicht sagen, was genau das Script macht. Daher frage ich euch, ob es tatsächlich ein Nachweis dafür ist, dass eine VMBR auf meinem Notebook läuft. Bei mir hat es '1' returnt! Danke im Vorraus!

tictactux
08.04.14, 01:33
Ich bin leider ziemlich unwissend, was programmierung angeht und kann daher nicht sagen, was genau das Script macht.

Das "Script" it keines, sonderen eine C-Funktion, die in einem Programm eingebaut wird- und gestartet hast du das sicher nicht...

Zu den technischen Details dieses Codefragmentes steht ja im zitierten Artikel einiges, auch wenn leider die meisten dort verlinkten Referenzen nicht mehr gültig sind.
Kurz: da steht ein bestimmter Maschinenbefehl in einer Variablen (rpill), der dann aus der Funktion ausgeführt wird um das dort erwähnte interrupt descriptor table register (IDTR) auszulesen und in der Variablen m[] zu speichern.

Aber Dir ist mit einem solche Stück Code sicher wenig gedient, vielleicht findest du ja richtige Programme, die sowas erledigen (also die Erkennung ob ein Sytem in einer VM läuft) - auch wenn das noch keine Aussage dazu erlaubt, ob das durch Wirken eines rootkits geschieht, solches kann obiger Code definitiv auch nicht.

PS: auf Debian/Ubuntu-like Systemen gibt es z.b. ein Paket namens virt-what

Pinguin
08.04.14, 02:10
Ich habe den Code mit einem Texteditor unter der Endung .c abgespeichert und dann mit dem Befehl "gcc name.c -o name" kompiliert.

Es wurde dann folgendes ausgegeben:


/usr/lib/gcc/i686-linux-gnu/4.6/../../../i386-linux-gnu/crt1.o: In function `_start':
(.text+0x18): undefined reference to `main'
collect2: ld returned 1 exit status



Danke für die Antwort, ich werde mich mal umsehen, ob ich sowas finde. Wer auch immer mir was empfehlen kann, ich bin dankbar für alle Tipps.

tictactux
08.04.14, 02:19
/usr/lib/gcc/i686-linux-gnu/4.6/../../../i386-linux-gnu/crt1.o: In function `_start':
(.text+0x18): undefined reference to `main'
collect2: ld returned 1 exit status

logisch.

Kompilieren kannst das wohl, aber tun wird es nix, da die main Funktion fehlt, wie der linker es auch schön sagt;)

Du müßtest mindestens eine main-Funktion einfügen, die obige Funktion aufruft- und den return-Code auswertet.
Und selbst dann wärst du nicht wirklich weiter... weil das Wissen für die Interpretation fehlt (mir z.b. ebenfalls, da mir die im Code geprüfte Adresse nichts sagt, ohne das genau zu recherchieren).

Pinguin
08.04.14, 21:36
So, ich hab mal Rootkit-Hunter drüberlaufen lassen, aber Rootkits wurden keine entdeckt. Über tcpdump habe ich diese Pakete sniffen können:


0x02e0: 0d0c c2ac 3af6 63cd 4c40 480b a94b 86e3 ....:.c.L@H..K..
0x02f0: 660b b4d0 7bb8 bcaa 396c 7db3 9641 023b f...{...9l}..A.;
0x0300: 456c f8c8 40e8 7b84 bdab e77c c608 8563 El..@.{....|...c
0x0310: 976f 1042 b6d7 071d c63b fedb 1fb4 7199 .o.B.....;....q.
0x0320: e150 eba9 5da4 59aa 9c9d 8107 1d3a 9889 .P..].Y......:..
0x0330: 5306 4ac8 b1b7 26ae ae7e 8713 d6ce 6ed3 S.J...&..~....n.
0x0340: 35ef 33ee 0dcb a989 02ba 087c f89f ac2e 5.3........|....
0x0350: 1f99 0bc8 c0fd dcd6 756f 64a2 55c4 847a ........uod.U..z
0x0360: a8a3 4e6b cbff 8ccb a6f5 84f7 d620 b518 ..Nk............
0x0370: b47f db3a b30c 8682 a348 e477 0535 714e ...:.....H.w.5qN
0x0380: b267 5996 0432 d3b6 2f84 f6bf 6678 ad23 .gY..2../...fx.#
0x0390: 6482 0cce 3ddf cd12 2dfb b86d 51a6 ebe8 d...=...-..mQ...
0x03a0: a375 5572 52b7 a959 d2a6 20f6 e3a2 e22e .uUrR..Y........
0x03b0: dda0 34d1 b37b e271 5af3 2120 0efa c32f ..4..{.qZ.!..../
0x03c0: 7349 6d80 cb13 01f2 adb2 58aa 6fb4 a354 sIm.......X.o..T
0x03d0: 932e 2ef9 a801 3b28 0327 8b8b c5b0 178a ......;(.'......
0x03e0: e503 2f66 70d0 7577 4344 dfb1 44de 82b7 ../fp.uwCD..D...
0x03f0: 8f42 c405 d81a e1d2 d5b7 3bac 527c c42d .B........;.R|.-
0x0400: eca1 dc8f c4de da4e 0ad3 c0bb 0316 21d0 .......N......!.
0x0410: 7bbe 7283 a696 c488 5d6d 611c a3bb a7da {.r.....]ma.....
0x0420: cade 0aa3 adc4 ca07 3a54 2e2c b702 ade2 ........:T.,....
0x0430: 5eef e4c5 af97 1803 4742 fb0f 3f1f 09fc ^.......GB..?...
0x0440: 31e6 623f a260 ab3c b889 7fec 1800 ad35 1.b?.`.<.......5
0x0450: c6bf be3c 8951 1b54 6d91 3c5d dcd4 2741 ...<.Q.Tm.<]..'A
0x0460: d1b6 41df c306 aa29 67ba 31ed 4598 ad75 ..A....)g.1.E..u
0x0470: 40bb bd57 03a9 be84 7155 a784 660d 6d1a @..W....qU..f.m.
0x0480: 85d4 e76f f8a4 e36c 60aa 7cbe 763a 4b50 ...o...l`.|.v:KP
0x0490: 790a 989b 30d7 d29e b23f 9669 2918 f73b y...0....?.i)..;
0x04a0: 3b5c e527 cbb5 225c 13e6 83e7 b6e8 f5da ;\.'.."\........
0x04b0: 78de 1e9f 850b 03dd 868f 4c90 e987 0073 x.........L....s
0x04c0: d761 8b17 8b62 1809 3ae4 d628 27f7 2740 .a...b..:..('.'@
0x04d0: 193c 08fe 30c2 92ce 114e c99e d2a8 71cb .<..0....N....q.
0x04e0: aef5 009e 2f02 38bb e8ef 39ef 4f51 e9f2 ..../.8...9.OQ..
0x04f0: 7451 15d4 323c e509 2f93 7ae1 f1b0 da9d tQ..2<../.z.....
0x0500: 2cd8 8d19 872c c779 4522 d5d0 6e31 d42b ,....,.yE"..n1.+
0x0510: e239 04ed 84d1 6755 48fb 282f d371 ebd1 .9....gUH.(/.q..
0x0520: 9e39 f514 d2df 3438 e540 c234 3f07 2c80 .9....48.@.4?.,.
0x0530: 6a85 cb30 6e3a 4203 b90f 1ca4 2623 5d4b j..0n:B.....&#]K
0x0540: fcbe a546 1456 ae55 a631 77ee b9a8 9b6e ...F.V.U.1w....n
0x0550: 2e5a 3d28 365d b14a cda3 de41 ff12 5b2c .Z=(6].J...A..[,
0x0560: bc1b 8ae9 9d90 7c88 58ba b6c7 2467 0be3 ......|.X...$g..
0x0570: e259 64f9 25f5 de43 22fc 566d d19b 784a .Yd.%..C".Vm..xJ
0x0580: 990a 0612 b10d f26e 5b65 578e 7aa2 e3f6 .......n[eW.z...
0x0590: 795a 2fa1 5af1 4162 514e df35 97cb 07dc yZ/.Z.AbQN.5....
0x05a0: 64d7 6bd0 eca3 a090 a7f6 3c7f e10e e3cd d.k.......<.....
0x05b0: a419 8de3 0221 4bd4 034d 8d71 6555 36c1 .....!K..M.qeU6.
0x05c0: 29e2 cd45 c22a e7c3 ba3b 3466 2c1d beb6 )..E.*...;4f,...
0x05d0: fdec dad8 a7a1 5746 0363 2533 0bf8 a08f ......WF.c%3....
0x05e0: a6f4 d2a7 9f3d f9a1 1640 1211 .....=...@..
00:00:00.001129 00:1c:28:20:43:62 (oui Unknown) > d8:50:e6:69:14:7e (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: ec1c 0020 0000 0000 9819 a78c 93c5 4917 ..............I.
0x0010: f518 7359 6706 df32 ad67 6c5b b396 276a ..sYg..2.gl[..'j
0x0020: 7e0a 798c 9863 e5b1 0e95 baa5 72d2 994e ~.y..c......r..N
0x0030: 6844 4000 7ccb 8d86 9f7c 3a4b e5c8 c868 hD@.|....|:K...h
0x0040: 9a43 191c e6c8 131c 7c74 3de2 51fa 0228 .C......|t=.Q..(
0x0050: 97ef 78d1 454c 04bd 614e 1848 186d 9002 ..x.EL..aN.H.m..
0x0060: e33c 308f ede4 41d5 cd40 2d65 1f38 2233 .<0...A..@-e.8"3
0x0070: dd71 8e75 100e 83f5 a322 0885 2b4b 91f6 .q.u....."..+K..
0x0080: 197b cfab f60a 21a2 e36d 6c2c b2da 2b88 .{....!..ml,..+.
0x0090: 44f2 8383 c3ec 1315 45d4 b59c fdc1 c51a D.......E.......
0x00a0: 2c1d 42cc 7278 9ffb 52db cadf 6e51 11e1 ,.B.rx..R...nQ..
0x00b0: 0e33 b859 0879 0a12 a339 f4b4 b8e5 8e4a .3.Y.y...9.....J
0x00c0: d0f0 d8f1 6e8b f22f 721f 98e9 b502 381f ....n../r.....8.
0x00d0: 0661 5aba 8ce7 a994 6ad4 a30a 4272 d7ae .aZ.....j...Br..
0x00e0: 93ab 71bd e8d4 afd6 3314 aa84 ee14 7611 ..q.....3.....v.
0x00f0: afd3 c0e6 ebaa b134 733b 75b1 7585 2c6c .......4s;u.u.,l
0x0100: 7a80 f3d1 f755 2481 fad1 1cde d80a af2e z....U$.........
0x0110: df25 75d7 4588 41a6 3a91 4720 d5fa e05a .%u.E.A.:.G....Z
0x0120: 6b63 2a07 d47d 7dc0 0618 563d e098 258f kc*..}}...V=..%.
0x0130: 1403 cfe8 600c ef5b 1784 93e9 2b45 ab88 ....`..[....+E..
0x0140: d567 1eaa 11f7 355b 441b ea00 8c96 c40e .g....5[D.......
0x0150: 2ce9 b452 2af1 0fff acc2 e92a ebfd a62b ,..R*......*...+
0x0160: 65d6 f48e 966d b9e6 3c3c 86db a89c a11a e....m..<<......
0x0170: 8b4a 486c c305 06a4 8a69 3f22 6c36 d35a .JHl.....i?"l6.Z
0x0180: d611 0866 598b 42e4 9a91 7824 a615 ca30 ...fY.B...x$...0
0x0190: c04c a242 1b34 29ee c4c1 598a 4b9e 4816 .L.B.4)...Y.K.H.
0x01a0: 3c7e 30a7 7fa4 293a 5563 f431 c3e7 0c2a <~0...):Uc.1...*
0x01b0: 9a37 4977 4b07 5584 0114 b8de 005c 5f48 .7IwK.U......\_H
0x01c0: fcdd 4730 86f9 307b eaa5 5d9b 8c8e 1447 ..G0..0{..]....G
0x01d0: 98f8 21d6 3724 58d8 2335 0946 6321 0ca5 ..!.7$X.#5.Fc!..
0x01e0: 7ab3 dd46 6ff1 3753 b0a9 5d59 e91c 22c9 z..Fo.7S..]Y..".
0x01f0: 8045 48f6 766b 48c1 5faf d256 a634 4f60 .EH.vkH._..V.4O`
0x0200: 27e5 7e74 cb7d 513a 734f 1522 a134 8834 '.~t.}Q:sO.".4.4
0x0210: 8500 8d9c 9a61 9e15 4ede de1f 7f28 5113 .....a..N....(Q.
0x0220: 4cd3 491f 504c 881e c616 c4b0 8140 c3ee L.I.PL.......@..
0x0230: dd41 ce62 bc79 d354 62d7 e770 2955 6804 .A.b.y.Tb..p)Uh.
0x0240: 85c9 ce7b acb0 0772 25f6 ad6d 40c1 ad85 ...{...r%..m@...
0x0250: f847 7fad 9172 8e97 e036 92ed 9391 0bb6 .G...r...6......
0x0260: dafa 2800 9c7e c57e 5776 2a18 e1b6 fc85 ..(..~.~Wv*.....
0x0270: 6d1d 9483 5248 fb18 1e82 760a 5998 c01b m...RH....v.Y...
0x0280: fcb3 b277 be60 f49e 709b 7f9e 88e1 cc8b ...w.`..p.......
0x0290: 281f f54e 4ed9 9dbf 88ce 0f79 d27f 5cc6 (..NN......y..\.
0x02a0: c72a b6ed 8c1c 4861 67f6 34a5 0a46 668c .*....Hag.4..Ff.
0x02b0: fbd5 ecd9 0919 f224 84f9 c96b 7f5c 85c2 .......$...k.\..
0x02c0: ad7a 493b 0813 1f1b 14e1 392b 82d5 fa20 .zI;......9+....
0x02d0: 3f87 d170 f26b 385c 3c72 4c4f 8086 0de0 ?..p.k8\<rLO....
0x02e0: 6b95 5367 e886 54e0 c6d5 8e67 92b9 06ca k.Sg..T....g....
0x02f0: 1eb5 1eee 7b3c 51ad 3ce8 4773 975e ec4e ....{<Q.<.Gs.^.N
0x0300: 1457 086f 5200 8aac 0e97 22de 309d afe4 .W.oR.....".0...
0x0310: 4b78 66a1 c897 9322 0f9d 3530 9d1f f3d8 Kxf...."..50....
0x0320: 7fa3 f6fb b103 493e 3456 b82f 00f0 2cdb ......I>4V./..,.
0x0330: 145e a87c 00ed 9b47 2436 f2d7 0282 f91d .^.|...G$6......
0x0340: cabe 68c5 ff4d 3bed 6aed 9e95 5d50 7556 ..h..M;.j...]PuV
0x0350: 6a48 1533 e0d7 d5b3 0390 46b2 1280 1900 jH.3......F.....
0x0360: c5bf 67f2 caca 1aa5 ed23 18ce 4425 59ad ..g......#..D%Y.
0x0370: adca 0fa8 cc47 338a aa03 44c0 158d b26a .....G3...D....j
0x0380: a48b cf4a 3e55 a01a b5f2 1a36 a5ce 068e ...J>U.....6....
0x0390: 3553 6606 96b8 01e3 c248 a4dd 4991 cfac 5Sf......H..I...
0x03a0: 8e67 1e6f e122 6ad4 4408 f7f1 bc5f 12cf .g.o."j.D...._..
0x03b0: 6b15 e0f3 2554 de01 5bce a41a d561 9741 k...%T..[....a.A
0x03c0: 4f92 5586 c926 5372 f29d f77d 951f 2187 O.U..&Sr...}..!.
0x03d0: 5142 c159 0f59 1b80 3b22 3702 06e7 7682 QB.Y.Y..;"7...v.
0x03e0: 08f1 4dfe 3556 fec2 06ba d2db 5242 ade3 ..M.5V......RB..
0x03f0: 925f d2e3 63c0 7f4f b290 687a 3253 495d ._..c..O..hz2SI]
0x0400: 01f1 7e61 30f4 4b4e 077a f42f 47fe 5060 ..~a0.KN.z./G.P`
0x0410: f225 eb61 6429 cae1 dfb2 128f 8ecb 0d02 .%.ad)..........
0x0420: e74a 11d5 9d7e e490 9240 3fb0 f03a 0708 .J...~...@?..:..
0x0430: f1a2 9b07 974a 7cda e923 e4e8 c077 85c7 .....J|..#...w..
0x0440: 8107 be84 c6ba 83d0 884b a58b 69d6 6617 .........K..i.f.
0x0450: 56f8 e78e de2e ed2f c2df 29bf 568f 2e8c V....../..).V...
0x0460: 4dae 4686 d908 bc1c 1d70 c8d1 c1fa 2e1e M.F......p......
0x0470: 6ead 49dc 0f5e aafb 16f0 a9d7 836d 8d26 n.I..^.......m.&
0x0480: e7df 657d f92d 7da6 6a4e 1629 264c 40f7 ..e}.-}.jN.)&L@.
0x0490: bae0 f406 823a 5ec9 ccca 9104 fbe1 54b0 .....:^.......T.
0x04a0: b13e 7765 f174 de88 0062 2737 2209 1ae0 .>we.t...b'7"...
0x04b0: d125 b32d bfb1 5072 7ca8 5db6 4ce8 9d4e .%.-..Pr|.].L..N
0x04c0: 4590 c48d 4cc6 1899 b109 f0d6 defd 4ef1 E...L.........N.
0x04d0: 4a65 a585 c259 7b9a a6d0 5eb3 986a 86d4 Je...Y{...^..j..
0x04e0: 039f ebb5 df3a 278e 9dc5 1d4a eba5 40a4 .....:'....J..@.
0x04f0: 6d41 754a 7d39 9f82 59ca d285 8bf6 68cf mAuJ}9..Y.....h.
0x0500: 0024 5a29 69b4 d04a 21bd 4a37 8515 b65d .$Z)i..J!.J7...]
0x0510: 6077 52c1 1471 9d54 a06b 5e65 8d40 7782 `wR..q.T.k^e.@w.
0x0520: e62c 0fb2 be34 cbe6 9e8c 0fcf a9c6 0cde .,...4..........
0x0530: ca63 2af4 4fe1 a5f2 93e7 5c9c e956 eeff .c*.O.....\..V..
0x0540: 550c d029 3267 5187 afa3 0d0f 601e cc9a U..)2gQ.....`...
0x0550: c93c 8d8b e022 714e 3bd3 7652 683a 481f .<..."qN;.vRh:H.
0x0560: 690b ec76 1f2c 286b c039 29d6 e12a 4e1c i..v.,(k.9)..*N.
0x0570: f478 352c 5111 8298 7845 bde6 ec38 f338 .x5,Q...xE...8.8
0x0580: d445 6252 dff4 e347 c359 3deb 2ba4 107d .EbR...G.Y=.+..}
0x0590: f180 936f 02e8 209d dcaf 1101 3887 dd9c ...o........8...
0x05a0: 4e17 c54f 6ef3 6b11 8809 5abb 76b2 f7e7 N..On.k...Z.v...
0x05b0: 979f 1f3e 02ed 0108 d446 cd6c 8252 1cd2 ...>.....F.l.R..
0x05c0: 2e43 a0bd b8a2 aa03 dc32 a329 1de7 2e40 .C.......2.)...@
0x05d0: f8cd f999 f4dd 259e cf37 0428 b814 5163 ......%..7.(..Qc
0x05e0: 9c7a dbfe 8041 da3d 4ad4 a828 .z...A.=J..(
00:00:00.001240 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xec Information, send seq 0, rcv seq 16, Flags [Command], length 1292
00:00:00.001008 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xee Information, send seq 0, rcv seq 16, Flags [Command], length 592
00:00:00.199762 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xee Information, send seq 0, rcv seq 16, Flags [Command], length 80
00:00:00.001015 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) NetBeui Information, send seq 0, rcv seq 16, Flags [Command], length 76
00:00:00.001047 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) NetBeui Information, send seq 0, rcv seq 16, Flags [Command], length 123
00:00:00.203171 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf2 Information, send seq 0, rcv seq 16, Flags [Command], length 80
00:00:00.000829 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf2 Information, send seq 0, rcv seq 16, Flags [Command], length 209
00:00:00.001018 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf4 Information, send seq 0, rcv seq 16, Flags [Command], length 76
00:00:00.202844 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf4 Information, send seq 0, rcv seq 16, Flags [Command], length 602
00:00:00.204604 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf6 Information, send seq 0, rcv seq 16, Flags [Command], length 366
00:00:00.819089 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf8 Information, send seq 0, rcv seq 16, Flags [Command], length 172
00:00:00.204834 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xf8 Information, send seq 0, rcv seq 16, Flags [Command], length 88
00:00:00.000895 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0xfa Information, send seq 0, rcv seq 16, Flags [Command], length 88
00:00:00.204627 00:1c:28:20:43:62 (oui Unknown) > d8:50:e6:69:14:7e (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: fb1c 0020 0000 0000 08b1 bdb7 ae69 388b .............i8.
0x0010: fa70 ba67 5429 704a 7caf 1543 c1cf dd13 .p.gT)pJ|..C....
0x0020: 80ea 9c6f f6d5 1553 1819 6aad 9100 9112 ...o...S..j.....
0x0030: 506a 3a53 8b96 2198 0076 7ee9 2925 e8d1 Pj:S..!..v~.)%..
0x0040: d77d 8d4b 90ee d4b4 52e5 5289 79a1 f2e2 .}.K....R.R.y...
0x0050: 9e20 dec8 73ed 4568 c20a 08ac 026f 023b ....s.Eh.....o.;
0x0060: 2ece e18b 7cee 79d8 2ee7 eac5 0476 ef59 ....|.y......v.Y
0x0070: 5b40 3d0f 85b6 15e4 c914 6f07 b86b c4d6 [@=.......o..k..
0x0080: 12b9 44f9 9d73 e5e3 1c51 c536 0432 1cc4 ..D..s...Q.6.2..
0x0090: 9b6d 1070 a2df 0be0 4a1d 4ee0 e204 95a4 .m.p....J.N.....
0x00a0: 4cec cff8 1ca4 7a3a 017d 9c23 bcca fb31 L.....z:.}.#...1
0x00b0: f5cb 637e 8e17 5153 c935 ba4e 5ca4 155c ..c~..QS.5.N\..\
0x00c0: c8cf 4d5d b1cb b9cb b799 8efe 1c71 54bc ..M].........qT.
0x00d0: aca6 32e5 0629 3a83 bcf0 20ae 8733 64e4 ..2..):......3d.
0x00e0: c511 013a a0cb 4bca eef5 55fe 223e c001 ...:..K...U.">..
0x00f0: 3089 4a9f c24b f934 36b9 72af f160 3edb 0.J..K.46.r..`>.
0x0100: c68c 911e d51e e065 a198 4764 106f e585 .......e..Gd.o..
0x0110: d3c6 623e a911 efb7 c7bf 96d4 7a91 7dfa ..b>........z.}.
0x0120: 9f42 bc63 7a57 7a6c a6e5 322e aa06 6091 .B.czWzl..2...`.
0x0130: 7224 3f5e 3c18 2332 7367 3c84 596c 6f68 r$?^<.#2sg<.Yloh
0x0140: 6c60 a677 8fe8 c989 defe c211 db2e c53f l`.w...........?
0x0150: 3e09 3683 d01e 3e3b cb64 8091 8b00 b002 >.6...>;.d......
0x0160: ede5 4382 2f39 a0ad 98d9 c02d bd65 797e ..C./9.....-.ey~
0x0170: 083d 846d 49ef e75a a893 b5eb e97d 7a3a .=.mI..Z.....}z:
0x0180: 9366 1109 1e97 6643 f9b6 a8c6 179f 3a32 .f....fC......:2
0x0190: 4850 7acb c205 3456 3c66 f1c3 c3ad 6eb4 HPz...4V<f....n.
0x01a0: 6b7e 13a7 1ab4 8bba 5eaa 34f4 12e9 739d k~......^.4...s.
0x01b0: 435a 718d 22eb 361b e8db 6925 35af b88e CZq.".6...i%5...
0x01c0: 8dd7 60a7 2eac 9af4 fad9 48bb c913 11c7 ..`.......H.....
0x01d0: c6c3 df4f 694c 684e 0548 f678 9a1e f7d6 ...OiLhN.H.x....
0x01e0: 781c 4dd0 3156 89e8 039f f5e5 ac87 c592 x.M.1V..........
0x01f0: 6775 c3cb b556 4bbc 9650 337f 43e0 8756 gu...VK..P3.C..V
0x0200: d5b0 c2d4 8218 960f ac3b 1d6d 428b 84dd .........;.mB...
0x0210: e47d 74cb 13a1 a745 322b 268d 9ed5 049c .}t....E2+&.....
0x0220: 5985 64f0 0c44 d99b e635 f261 0b47 bd6d Y.d..D...5.a.G.m
0x0230: 1d96 6b25 eb73 ebef 63e8 de88 f9b7 b158 ..k%.s..c......X
0x0240: 5a81 5c30 95e2 9801 0d4c 8d2f 3013 0543 Z.\0.....L./0..C
0x0250: 81fb ebc6 ab55 03f5 0bfd acd9 e80a 8cb4 .....U..........
0x0260: d57b 21e2 7a68 1780 d207 5724 4f76 fd3a .{!.zh....W$Ov.:
0x0270: 91c9 5f30 e5b6 670b 726b 8950 5d4f 2213 .._0..g.rk.P]O".
0x0280: 0b05 42e9 a35f b5f7 817a 40a5 54c7 cc7c ..B.._...z@.T..|
0x0290: ce00 9bc2 feb1 25b6 6987 96ce a99a 3a75 ......%.i.....:u
0x02a0: bf98 2d6e 13be 1042 f8c6 fa74 166a c60b ..-n...B...t.j..
0x02b0: 27fb 8c00 3ff5 efad 95e6 ead9 ac19 9030 '...?..........0
0x02c0: f618 f092 ad8d 8b92 6bdb c4d9 7c97 ae65 ........k...|..e
0x02d0: 7ba6 92c9 ac01 cc46 bad8 f7d8 2307 e2f2 {......F....#...
0x02e0: 5025 7c3f 8e34 685c c20b d6b3 eba1 038b P%|?.4h\........
0x02f0: 3006 66a3 c33f e779 70d6 ece0 cda3 9c85 0.f..?.yp.......
0x0300: 28a2 a21a dc4f 683f 8443 7273 2290 edc8 (....Oh?.Crs"...
0x0310: 6d52 c7cf 4346 8ea0 e7b1 5188 d196 a358 mR..CF....Q....X
0x0320: 5548 d156 6314 013f 634c ad55 cffe e821 UH.Vc..?cL.U...!
0x0330: 83bc 6ae6 6cef 5ac6 6b04 ad87 aa8a 8cdb ..j.l.Z.k.......
0x0340: 81b6 ac7d 6ef4 82ed 19df e107 533b 1ec9 ...}n.......S;..
0x0350: 3cbe afbc 9431 5e1f 8280 562c f0b6 c861 <....1^...V,...a
0x0360: 0ce4 9fd8 cced f5b8 07c6 2a93 9cbc 8378 ..........*....x
0x0370: 54c9 10a0 5758 e587 5e86 8b2d 37d8 ac45 T...WX..^..-7..E
0x0380: 20bb 247f fbf8 704d 2334 9ead 8e98 18aa ..$...pM#4......
0x0390: 241c 7aac 91b1 7b75 9ce2 f37b 81d4 30a4 $.z...{u...{..0.
0x03a0: 92b5 faa7 d677 0ae9 ca45 3f05 7953 63b6 .....w...E?.ySc.
0x03b0: bbc4 02a2 2bf7 0854 2de3 5fb8 a66b 74ff ....+..T-._..kt.
0x03c0: bdcd 94c4 7593 b462 e60e ab77 56e6 d8e9 ....u..b...wV...
0x03d0: 171d 7d69 a90e 9b41 3c0c 923e 391e 41cd ..}i...A<..>9.A.
0x03e0: b321 54df 9d04 0564 f0f9 9ea9 86d7 8552 .!T....d.......R
0x03f0: da08 8ed4 d2c8 d4f5 8119 a3a7 37a6 7bc1 ............7.{.
0x0400: 6c32 a4a5 e631 b467 cb52 f237 e58a bc5c l2...1.g.R.7...\
0x0410: 435c d73a 00d2 cc5e be1f b4ab f79d ba7e C\.:...^.......~
0x0420: 8a26 7096 a3c4 695a 03cd 6e83 68e4 1a04 .&p...iZ..n.h...
0x0430: 43f6 3e67 9e99 3991 dd8c 8e70 223e b48a C.>g..9....p">..
0x0440: 0457 cbd5 b0df ac4b ea24 faf5 832e c2dc .W.....K.$......
0x0450: 18cc e40e 2ee0 54b0 05d0 0911 3aa1 f8df ......T.....:...
0x0460: e425 17a9 cbbf 0998 7a88 8cc0 5d50 0d9c .%......z...]P..
0x0470: 3fdb cbe2 560a 81c1 c5f3 87fb 8ccf 2913 ?...V.........).
0x0480: c002 7000 03cf 5445 2596 7d54 7c98 d587 ..p...TE%.}T|...
0x0490: 4f29 82f4 37dd e029 a936 6e20 1769 7e35 O)..7..).6n..i~5
0x04a0: a6e2 7a22 cd90 5045 148b 2304 2ecf 3250 ..z"..PE..#...2P
0x04b0: ef45 8b90 50d2 c11b b1a9 2745 2f36 9b3a .E..P.....'E/6.:
0x04c0: 60ad 2487 5d64 9980 672b 9ee9 05e7 45c2 `.$.]d..g+....E.
0x04d0: 4464 e3c0 0a1a acd2 b0a7 203b e922 79bd Dd.........;."y.
0x04e0: 22a2 a90f 5d94 7290 cb93 d53c 1162 7342 "...].r....<.bsB
0x04f0: fcce 76b2 2184 7816 e14c beb6 692f a92b ..v.!.x..L..i/.+
0x0500: cebc f911 ffb8 7db4 7911 be03 555b dd62 ......}.y...U[.b
0x0510: a3da 63d7 9ba5 73d2 7c81 898b d590 5428 ..c...s.|.....T(
0x0520: a28e 105c cad0 f595 12f5 bd0b d902 af48 ...\...........H
0x0530: f8b3 5509 6e3b 5c04 a5d9 0493 2168 5c3b ..U.n;\.....!h\;
0x0540: 0aa3 f1e1 068d 95e7 2fd8 6d6e 631d edef ......../.mnc...
0x0550: 6191 0915 8225 db5b 1fed fa33 8fc0 22e4 a....%.[...3..".
0x0560: 61e7 25dc 02ce ca64 6b01 aedf ca27 acfe a.%....dk....'..
0x0570: 39f5 58d0 f9ee 9393 82cf 1612 69a0 2efa 9.X.........i...
0x0580: 6e15 74b5 f9a5 0a6d 166b 1021 954f 67f9 n.t....m.k.!.Og.
0x0590: 6886 f4d6 f630 f980 7e91 a6e7 fd73 8842 h....0..~....s.B
0x05a0: 3998 95d2 5690 b889 7e24 7a91 a91f 17f9 9...V...~$z.....
0x05b0: 593f 6d4a 0fc5 9294 f5c6 ad6b 82cc fc10 Y?mJ.......k....
0x05c0: 8541 23c4 9893 9c68 346c 4a07 6d25 f057 .A#....h4lJ.m%.W
0x05d0: d09f 36f2 8aed 3e0e fb28 1a4b 918f 4c5e ..6...>..(.K..L^
0x05e0: dc59 9887 1b84 ca71 e864 5719 .Y.....q.dW.
00:00:00.001085 00:1c:28:20:43:62 (oui Unknown) > d8:50:e6:69:14:7e (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: fc1c 0020 0000 0000 3bb2 222b 9e2a 33dc ........;."+.*3.
0x0010: 1330 fcba 63be 270c aa9f 6ec7 4fd2 b713 .0..c.'...n.O...
0x0020: cfbb e5e6 41ac 019f 985c 9606 1028 3aac ....A....\...(:.
0x0030: ff0f cc5d bc9a 27ab 8877 27a2 4a93 004a ...]..'..w'.J..J
0x0040: 5613 9826 1597 d0e8 2f00 e374 1bb8 8339 V..&..../..t...9
0x0050: 3304 6634 4024 4a23 5a35 e585 e387 fb0e 3.f4@$J#Z5......
0x0060: 7ca5 f8c3 83a5 853e c8db 8174 6f41 1fa4 |......>...toA..
0x0070: 6b91 ed95 96e7 3af1 8338 df74 586e 00da k.....:..8.tXn..
0x0080: 6ca4 71a5 d5e5 8c2e 3b51 fd65 8e59 70b1 l.q.....;Q.e.Yp.
0x0090: ab1f 0dec ef71 aa35 3f0a fca2 e54e 312a .....q.5?....N1*
0x00a0: 87a8 99ab 1366 07b6 5340 4093 7d83 d9c8 .....f..S@@.}...
0x00b0: f9e3 a668 57ee 159b 6ec6 7809 0c0b e679 ...hW...n.x....y
0x00c0: b355 dadb 6133 c487 1f58 8043 ee02 89a4 .U..a3...X.C....
0x00d0: 2987 9998 4842 d280 d2b2 9ae1 c8dd e171 )...HB.........q
0x00e0: 1930 0f9f 48f9 1c72 297a 9ae8 d7b2 52e7 .0..H..r)z....R.
0x00f0: 91dd 6d98 4271 9345 0060 b1d2 c562 2fd9 ..m.Bq.E.`...b/.
0x0100: 2b80 fe06 8f1d a6cd d755 bf09 0812 d81f +........U......
0x0110: ca26 537a 5ca8 825b 766a 3d95 a7f6 4f2b .&Sz\..[vj=...O+
0x0120: 4da5 1d43 19d8 62f7 a6e7 030c 14f8 3b5f M..C..b.......;_
0x0130: a226 d60f cfbb 3a00 22ed af71 6eaa 083f .&....:."..qn..?
0x0140: ab1f f844 653f 9d28 c3a4 e3ca 0136 46a8 ...De?.(.....6F.
0x0150: 551e 7c4c 7bb7 25e1 4f3d 9917 1aa7 175b U.|L{.%.O=.....[
0x0160: 2858 40fd 95c5 dad2 866a d469 b6f5 9e5a (X@......j.i...Z
0x0170: 86af d19a 114a 90f2 f743 100e 418e 5779 .....J...C..A.Wy
0x0180: c623 77cf b48e ec20 28ca ac35 fd8a 7de5 .#w.....(..5..}.
0x0190: 2dbc df46 aff1 c8df c9e6 337d 5ee0 10d6 -..F......3}^...
0x01a0: 7f42 f679 f5ff bc4c f1bc a67c 5b4f febf .B.y...L...|[O..
0x01b0: 8fa0 5070 71a0 5302 6b24 d3ff cddb 5bf2 ..Ppq.S.k$....[.
0x01c0: f9d2 172f 2055 646c 56fc 3007 0dcd abdd .../.UdlV.0.....
0x01d0: d4b2 187e 034b cb4e 3beb fa19 0d4c 3cc7 ...~.K.N;....L<.
0x01e0: 849e 8ce5 9754 8572 979c b58f f33b c293 .....T.r.....;..
0x01f0: d44e 15db dcfa e9ec f548 75f1 46e3 aaba .N.......Hu.F...
0x0200: d5cf 7ab5 cba0 7abc 866e e938 addd e048 ..z...z..n.8...H
0x0210: 12fb bb20 7446 57e0 f342 3e3a 4a22 b952 ....tFW..B>:J".R
0x0220: 99c2 693a 527d 668d 0f54 08ce a135 e54d ..i:R}f..T...5.M
0x0230: 95f9 9c80 39fa d761 433d 9e98 164d eda0 ....9..aC=...M..
0x0240: 481b 1c5d 5e31 b7a8 40a2 ae5a c69d da3b H..]^1..@..Z...;
0x0250: ff78 6eb4 cd50 fc36 e20b cf94 6122 89a7 .xn..P.6....a"..
0x0260: fdd6 c1ee eea2 3932 1fe5 682f 0bd2 67e0 ......92..h/..g.
0x0270: 8cee fb2e 6a22 3242 e7e3 5f28 d146 3135 ....j"2B.._(.F15
0x0280: 0708 95b3 797a 3edc 2f30 e774 22d7 840f ....yz>./0.t"...
0x0290: 8dc4 2ede 8ec2 21bf a53c e257 9d77 b997 ......!..<.W.w..
0x02a0: be6e c078 36d1 2f78 b5a5 2964 8ba5 328c .n.x6./x..)d..2.
0x02b0: 9d90 3335 f0e0 f035 eb1d 631d f1f6 ab2e ..35...5..c.....
0x02c0: 27ac 89de 7053 4472 177a 87ef 8685 4190 '...pSDr.z....A.
0x02d0: 983b 1ccc d44d 7e4d 5903 52ae c664 e2ec .;...M~MY.R..d..
0x02e0: f45e 1f45 9b0e 3b8e cc8e 5911 a8c3 77b6 .^.E..;...Y...w.
0x02f0: 0d0f 576b b9c5 7e43 3d7b 2067 4f3a 0b6d ..Wk..~C={.gO:.m
0x0300: 84f8 d8b7 aed7 5e4a a265 09c0 e80c ac8a ......^J.e......
0x0310: 1866 2514 0a65 2536 869b 83bf b6fb 06dc .f%..e%6........
0x0320: e80a 4586 b88e 4b6a cff2 f081 d5d1 fc6e ..E...Kj.......n
0x0330: 2370 a637 c4a0 0b58 c0c9 a4f5 a066 bcbe #p.7...X.....f..
0x0340: 5f78 dd2e c61c d82d 7104 29f9 f184 7292 _x.....-q.)...r.
0x0350: db23 bcad ac83 4964 5789 5c51 ecfe 0063 .#....IdW.\Q...c
0x0360: 1958 687b 4a8b 9421 dfcd a373 e04b 5a4a .Xh{J..!...s.KZJ
0x0370: bdca 3096 efd4 100e 9602 be0b 8642 3234 ..0..........B24
0x0380: 855d 3a06 e24d 1e5d 532f 85de 4363 8000 .]:..M.]S/..Cc..
0x0390: 80a3 9a55 8644 36eb 80ab 2731 f775 4b3f ...U.D6...'1.uK?
0x03a0: 388c 49b8 e6c0 acd6 1bc1 10a8 1846 5031 8.I..........FP1
0x03b0: f7c8 49b8 1b2e 3398 aa26 e1ba db97 b780 ..I...3..&......
0x03c0: 2f47 3c94 a830 8f3f 143c 6dab 0297 214d /G<..0.?.<m...!M
0x03d0: e8c6 085d 803d 3f90 39cb daed 7d50 8a38 ...].=?.9...}P.8
0x03e0: 32cb 4b40 7071 1cf7 b73e 751d 8d97 26c7 2.K@pq...>u...&.
0x03f0: 9456 415a 7196 01f8 f835 a7ef 9f36 6ea4 .VAZq....5...6n.
0x0400: a7b7 db3b 11c6 24f7 2713 e321 afd0 ad48 ...;..$.'..!...H
0x0410: 276a 7c37 78e5 e54f 8aaa 64ac 6703 fed2 'j|7x..O..d.g...
0x0420: ea0c 4450 6f0a 37bf 9feb 4156 af35 04dc ..DPo.7...AV.5..
0x0430: 3568 5c54 6c7c a659 7f36 5eae 3842 8a49 5h\Tl|.Y.6^.8B.I
0x0440: 41ff 8456 99bb 76fc 41bc a30c 1ede da01 A..V..v.A.......
0x0450: 1151 b39b 2c60 90ef 8433 1509 3bbf fa1c .Q..,`...3..;...
0x0460: b65c d05d e842 1152 d0f4 ddfe f1a8 2a44 .\.].B.R......*D
0x0470: 48d1 a15a 321d 028c fade 9f5f 9236 f13d H..Z2......_.6.=
0x0480: 3abf 573d f7b0 9061 d201 c82e fa99 6804 :.W=...a......h.
0x0490: 8809 d5e8 9f11 c5c9 0003 3834 2e22 853c ..........84.".<
0x04a0: 31a6 b4c1 3173 66cc d5c7 8589 e8eb 5f1e 1...1sf......._.
0x04b0: f6d0 9118 1363 73f0 517e a6dd a699 1130 .....cs.Q~.....0
0x04c0: ee3e 9e49 25d8 b886 9f2a a1f4 568b df05 .>.I%....*..V...
0x04d0: cb24 2d3c 7c5d 3f5b ade6 bf2c be68 4520 .$-<|]?[...,.hE.
0x04e0: e740 7571 7519 d172 4598 0bc0 7415 3f08 .@uqu..rE...t.?.
0x04f0: 1c68 2266 f631 0d9c 3ad3 2c21 1c49 d530 .h"f.1..:.,!.I.0
0x0500: 6b5f 9bb4 cea1 1847 1b8c 7e91 ba00 33c4 k_.....G..~...3.
0x0510: 7b3d 0c08 53a0 ec03 371e 5748 5f34 7549 {=..S...7.WH_4uI
0x0520: 4658 b9b9 c633 a7de 12e7 59b0 8d0d 682a FX...3....Y...h*
0x0530: 79ba e1b9 d2a5 0625 c0af 76ea 5b76 6797 y......%..v.[vg.
0x0540: 0f54 f008 64fe 8070 4c11 307c 562d 6fb3 .T..d..pL.0|V-o.
0x0550: 7d12 e1b8 3dd0 293a 7bee ffd3 fc80 36a9 }...=.):{.....6.
0x0560: 85e1 cb5b e3cf d3ad 2c25 6f4e 6daa d0d2 ...[....,%oNm...
0x0570: cc70 eb9c 6d04 17fe eedb d280 1bdb 24b3 .p..m.........$.
0x0580: 1ecd 4e2e 6644 eea8 5133 08dc e7d2 e758 ..N.fD..Q3.....X
0x0590: 5094 3359 5e28 7cdc 594b a8b0 2bb5 cc0d P.3Y^(|.YK..+...
0x05a0: 0146 49f2 b4ec 8178 3ca8 b35d 7f90 dc52 .FI....x<..]...R
0x05b0: 6b00 04e8 7a0f 6b87 5af9 726e 79ed d1a3 k...z.k.Z.rny...
0x05c0: 973c 2590 dfc9 d237 cea0 2c76 cfa7 bcfc .<%....7..,v....
0x05d0: de45 c5b3 1e60 520f c5de 727a bbf1 6cdd .E...`R...rz..l.
0x05e0: 954e 738b f257 3718 9fa2 74f1 .Ns..W7...t.
00:00:00.001131 00:1c:28:20:43:62 (oui Unknown) > d8:50:e6:69:14:7e (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: fd1c 0020 0000 0000 ca2f 13ab b8b1 b4a5 ........./......
0x0010: 877b dd74 8f6f aae6 bd9c 93f8 2c9e 599e .{.t.o......,.Y.
0x0020: 9c54 7ba7 a885 1b2d c0dc 51e7 a66b 9f18 .T{....-..Q..k..
0x0030: 7209 c69b b8ae 4182 6608 6ca3 9c03 0829 r.....A.f.l....)
0x0040: 4cbb 7384 680a 4d51 c9f7 6838 a3d1 44e4 L.s.h.MQ..h8..D.
0x0050: ea93 51e6 41fd 46d2 718c 6495 f1ec 4618 ..Q.A.F.q.d...F.
0x0060: b38c c50e 6a60 1ce0 0b8d 6c2b a633 e5d4 ....j`....l+.3..
0x0070: 114b c327 200b 41e7 495e 9820 e956 fd16 .K.'..A.I^...V..
0x0080: e19f 43f2 cf4b 482d a012 24f3 ade3 b7c7 ..C..KH-..$.....
0x0090: 6272 7fa3 19e1 9fdd 5cdf 57e1 557e 83bf br......\.W.U~..
0x00a0: 9656 c200 c88b 0cea 70c7 2b4a 3327 0ee1 .V......p.+J3'..
0x00b0: 1cd2 91f0 9f3f 751c 667c 66e3 6108 28c9 .....?u.f|f.a.(.
0x00c0: bc6d 6846 637b d3ac 22eb 48c1 a160 f920 .mhFc{..".H..`..
0x00d0: c309 a1a7 73f4 73fa 8fcf 9aab cad2 860d ....s.s.........
0x00e0: 8dfd 3a86 fcab de0c e877 6da0 be4f e491 ..:......wm..O..
0x00f0: f4e1 e309 f7cc 1555 9727 0b95 f87a ffd1 .......U.'...z..
0x0100: d5b6 dfab 9293 54dd c5ee ca06 b1f5 a905 ......T.........
0x0110: d2c1 8b6e b09a 45a4 e9ec ff41 77e1 8db3 ...n..E....Aw...
0x0120: b8f8 e425 c59a 3b7d 090e 5e97 7d87 de34 ...%..;}..^.}..4
0x0130: aeb7 6894 5659 8e53 dce7 a944 f820 02d3 ..h.VY.S...D....
0x0140: bfe8 1a13 8ad8 cab1 8f1c 596b d2ec 9186 ..........Yk....
0x0150: d05b deb3 21d0 e1e0 fb23 db32 fec8 9cbc .[..!....#.2....
0x0160: d683 efeb 960d 0e03 8c5d fae2 3d72 3a45 .........]..=r:E
0x0170: c2d1 f237 044a a50f db2f f531 0895 f2b5 ...7.J.../.1....
0x0180: d579 06ea 0278 ce49 eb31 f4e9 5c86 f9ee .y...x.I.1..\...
0x0190: 9033 8231 573a 14a9 e6f2 f852 9f3f 03d3 .3.1W:.....R.?..
0x01a0: 08b2 832e d50d acde a308 5084 3e07 0bbc ..........P.>...
0x01b0: 47df 00cb b913 80a1 0bda c7c7 dc99 458c G.............E.
0x01c0: 12f8 fd56 0fa8 c144 ef22 e972 239f efb3 ...V...D.".r#...
0x01d0: 2fde 938d b519 553e 8fe4 77b4 2356 cab6 /.....U>..w.#V..
0x01e0: 2b96 8ef9 c4d8 669c 5cb7 64c1 3a2b 3dd5 +.....f.\.d.:+=.
0x01f0: 77bb b6ec 1a81 7a80 f069 8ac1 fdc4 9077 w.....z..i.....w
0x0200: 2848 d03b 9b5d 6fda 8fd1 b7e9 c678 6f56 (H.;.]o......xoV
0x0210: adb7 6983 6a1c 8c8f d11d 3426 675f 1d8b ..i.j.....4&g_..
0x0220: 7864 c8c5 5e19 5f8e 2d11 dd18 64a2 0691 xd..^._.-...d...
0x0230: c0fb e80b 8732 f1f9 92f0 1f03 20fb 67b6 .....2........g.
0x0240: a181 a45e ba50 1c4c 1e86 2be2 4824 b777 ...^.P.L..+.H$.w
0x0250: c896 e014 d1f9 e3d5 4a70 670c e9f1 1fae ........Jpg.....
0x0260: 62bc 4ac4 51e5 b5ce d932 a5b7 e706 a640 b.J.Q....2.....@
0x0270: b3a5 4460 0dc1 01dd 16d0 e32d 276a 5c9b ..D`.......-'j\.
0x0280: 6532 cdb8 c366 c9f3 7085 19f5 776a c578 e2...f..p...wj.x
0x0290: 5b52 833c 1730 c2ae aa0e 4835 e3d7 ce28 [R.<.0....H5...(
0x02a0: 4971 7fd1 cd19 840a b2e5 7c54 1a46 bd6d Iq........|T.F.m
0x02b0: a060 eeb5 e92d 498c b4fe 10f3 fc79 9565 .`...-I......y.e
0x02c0: f642 658c 5719 e92e b120 e5b6 f428 f12c .Be.W........(.,
0x02d0: 0f52 98c5 d891 c07f 1c74 0439 2d34 5125 .R.......t.9-4Q%
0x02e0: eecd cff3 dfe0 78f5 0e56 d2d3 29ab f12b ......x..V..)..+
0x02f0: 9f71 7819 a2b0 e3ff bd50 95c3 d9a5 b97b .qx......P.....{
0x0300: 4e62 b2e8 1ee6 59f2 f5f5 945d 215a 6cd0 Nb....Y....]!Zl.
0x0310: 16f6 5b94 f265 7e40 3eff 591d bce9 5abe ..[..e~@>.Y...Z.
0x0320: a855 f82b c665 82bc 0623 4a5c 8955 e2ba .U.+.e...#J\.U..
0x0330: 895b f527 32de 452c a752 16cd bf47 4441 .[.'2.E,.R...GDA
0x0340: 22ad bea7 f19b df8f 3403 bb47 907c 4c37 ".......4..G.|L7
0x0350: 4d33 95fd 951e 5c6b ab22 8f2b 0b60 a154 M3....\k.".+.`.T
0x0360: f901 67f2 9c95 9006 417e fd33 f617 d704 ..g.....A~.3....
0x0370: 5f55 eb54 633b 9af3 2892 1ee8 47ae 734b _U.Tc;..(...G.sK
0x0380: 178c 6cfa ca21 f81b 194a 9b3d 0b15 9ad2 ..l..!...J.=....
0x0390: aa4c 0764 c922 edc5 8955 2cad 675c 1d1a .L.d."...U,.g\..
0x03a0: de2a 954a 2ef7 03b6 16a2 76a1 1fb7 c311 .*.J......v.....
0x03b0: 33b7 2f21 f717 1bdd 1c41 d58e 6c29 d531 3./!.....A..l).1
0x03c0: 387d cfe1 b0a6 a112 2963 e5fd 422a 86e9 8}......)c..B*..
0x03d0: cfe8 5f79 ee29 6495 63bf a536 f33b 153f .._y.)d.c..6.;.?
0x03e0: db9d e001 dce4 8831 7d96 5682 fea9 fa2a .......1}.V....*
0x03f0: 2732 ad21 d7b6 54f1 dfa8 de59 81e3 6f55 '2.!..T....Y..oU
0x0400: ec35 8686 80ec 45f1 0336 8932 35da ca8b .5....E..6.25...
0x0410: 04d5 f078 8bdf b680 1b36 0f43 63e6 854d ...x.....6.Cc..M
0x0420: cc97 4b4e ae18 7d79 7c45 37ca 0167 e175 ..KN..}y|E7..g.u
0x0430: 068c 413d a422 9e82 0433 3afd d086 4ec1 ..A=."...3:...N.
0x0440: 397d 68be 34c9 9293 1ef0 ce14 8968 879e 9}h.4........h..
0x0450: 5a71 eae4 93c7 73b1 e5a7 8662 6b1b 9c3e Zq....s....bk..>
0x0460: 00ef bbae 39a6 f2e6 1d28 7e05 2acb af41 ....9....(~.*..A
0x0470: 8651 1b56 0a37 23f4 ab6a cc09 8702 eaea .Q.V.7#..j......
0x0480: 66e8 4706 77b3 59ac 4d44 ce3b 90a9 ffd7 f.G.w.Y.MD.;....
0x0490: 2c66 f1fb 42a2 0ea9 466f 5307 812f 8a35 ,f..B...FoS../.5
0x04a0: 21a4 2a9c 7f49 6aa9 21f9 2658 ffbb 1b39 !.*..Ij.!.&X...9
0x04b0: 723d ebca 31e8 14cd 47f5 c2c6 cce7 beda r=..1...G.......
0x04c0: 8ba0 dbec 7450 553f 72ec 4361 ec18 063c ....tPU?r.Ca...<
0x04d0: b908 5619 58d7 7373 ef9f 1227 2f0a 5c0d ..V.X.ss...'/.\.
0x04e0: cf94 4d0f 8e24 86a1 2e8a e8a2 0019 f357 ..M..$.........W
0x04f0: 0f84 6ea2 ea60 81a1 a9f2 caaa 4b12 6609 ..n..`......K.f.
0x0500: 16a0 2170 b916 cf9c 7634 475d 3d97 62f8 ..!p....v4G]=.b.
0x0510: 8f0a 065b 6246 b5f9 c03a 1262 7479 a424 ...[bF...:.bty.$
0x0520: ca64 1aa8 05eb 0174 f393 0b11 6275 8f9b .d.....t....bu..
0x0530: 68c0 b103 3cd3 0b36 4474 8c9a 6962 3a40 h...<..6Dt..ib:@
0x0540: 2178 bd18 0852 0532 defc 753d 9fb9 9367 !x...R.2..u=...g
0x0550: 06f5 3033 22d7 94ad 5d2e f471 cb63 49a4 ..03"...]..q.cI.
0x0560: 031b fa62 d257 aacc fc63 9426 2fd1 22f4 ...b.W...c.&/.".
0x0570: 2cab a4ba 0def 4b7c 188e 118e cfb1 8505 ,.....K|........
0x0580: 275a c8d9 0109 46ae 3ad0 6cfa 8ad9 248c 'Z....F.:.l...$.
0x0590: f7cc 1f81 2009 ebf3 01b3 b629 fa3f 3ce3 ...........).?<.
0x05a0: 9740 93f1 1727 419c fb50 cf75 ab84 5db1 .@...'A..P.u..].
0x05b0: 510a 69a2 dbec 60bc 71fa 09fb 6c6d 6bb4 Q.i...`.q...lmk.
0x05c0: 4b5d 300b 8248 52a5 16e1 fa54 7930 c955 K]0..HR....Ty0.U
0x05d0: a2aa c12d ee8d 0f97 5d9c 15a9 f981 48fd ...-....].....H.
0x05e0: 1ef6 57dc 6b52 728c 2eae 30a1 ..W.kRr...0.
00:00:00.000996 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) OSI Information, send seq 0, rcv seq 16, Flags [Command], length 137
00:00:00.200926 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) OSI Information, send seq 0, rcv seq 16, Flags [Command], length 1455
00:00:00.000976 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Null Information, send seq 0, rcv seq 16, Flags [Response], length 521
00:00:00.203966 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Null Information, send seq 0, rcv seq 16, Flags [Response], length 76
00:00:00.000784 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) 802.1B I Information, send seq 0, rcv seq 16, Flags [Response], length 103
00:00:00.000839 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) 802.1B I Information, send seq 0, rcv seq 16, Flags [Response], length 76
00:00:00.001288 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) SNA Information, send seq 0, rcv seq 16, Flags [Response], length 76
00:00:00.000720 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) SNA Information, send seq 0, rcv seq 16, Flags [Response], length 135
00:00:00.201008 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) IP Information, send seq 0, rcv seq 16, Flags [Response], length 76
00:00:00.000892 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) IP Information, send seq 0, rcv seq 16, Flags [Response], length 76
00:00:00.001134 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1c > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0x08 Information, send seq 0, rcv seq 16, Flags [Response], length 865


Hoffentlich kann mir jemand etwas dazu sagen. Ich verstehe nichts davon die Daten auszuwerten. Dazu muss ich noch sagen, dass ich sie empfangen habe, ohne den Browser geöffnet zu haben. Die Daten kamen nach ungefähr 2 Minuten und ich hab nach wenigen Sekunden gestoppt.

Pinguin
08.04.14, 22:02
Wie beim vorherigen Post hatte ich keinen Browser geöffnet, als die Pakete ankamen.




0x0540: 063e 0b39 4759 5e4c bad3 7dfc f259 e80e .>.9GY^L..}..Y..
0x0550: 1bad 1eec 4b8f 3a34 be99 33c3 7d0c 0df1 ....K.:4..3.}...
0x0560: 9e46 6282 cee0 8ee7 c592 63f1 690b 93a3 .Fb.......c.i...
0x0570: c523 d301 77ce 1f24 be44 e748 52c9 c172 .#..w..$.D.HR..r
0x0580: 82a1 2913 b15d 40d8 b6ea e16b b54b 83da ..)..]@....k.K..
0x0590: 143d 6f5c 3ab5 ce07 b2b2 fce8 3307 7f10 .=o\:.......3...
0x05a0: dba8 b5fa e5be 1791 ad1a 1354 db3a 6939 ...........T.:i9
0x05b0: cdf0 56fe 14c9 4092 4437 81ec 45d9 8808 ..V...@.D7..E...
0x05c0: 6f0c 8836 2f02 d925 9c75 9f2e 1bc7 2687 o..6/..%.u....&.
0x05d0: 8c05 3a33 824c bed8 4f0d 3eaa c70c d8b9 ..:3.L..O.>.....
0x05e0: 61ab c389 711f b873 8078 9311 a...q..s.x..
2014-04-08 21:57:29.307634 00:1c:28:20:43:62 (oui Unknown) > 38:ec:e4:81:7e:f8 (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: c952 0020 0000 0000 1f4c 02ab ac60 3d53 .R.......L...`=S
0x0010: 7eb6 70da 277a 5dae b693 ce23 9f17 fcad ~.p.'z]....#....
0x0020: 4b49 2d52 23aa 9abc a6cf 486e e7f9 e623 KI-R#.....Hn...#
0x0030: e86d 8512 144d 8a13 a114 b8c5 010f aaac .m...M..........
0x0040: e60d b18f acbf 50eb 214d f403 47d7 2bd8 ......P.!M..G.+.
0x0050: b890 fe14 ac8c 7233 5b01 60d5 16b4 c25a ......r3[.`....Z
0x0060: 464d a95a 6896 04a7 422e ab20 7783 dca3 FM.Zh...B...w...
0x0070: ab5e 21fd 897a c329 b609 1b5c 7d4f b3a6 .^!..z.)...\}O..
0x0080: 209f 06c6 a1fb 548f f5db 564a bdbe c72b ......T...VJ...+
0x0090: 94f1 424d 4839 b6bd 6bfa 27d1 c271 bfb9 ..BMH9..k.'..q..
0x00a0: 691d bba9 e6ee a25e 338a ad30 3be4 53ee i......^3..0;.S.
0x00b0: c0ab 6539 eac3 75b4 8763 465f 6324 a996 ..e9..u..cF_c$..
0x00c0: e693 8164 6d5e 23b9 39b9 10ee 8a34 3878 ...dm^#.9....48x
0x00d0: 32c0 6e91 63e7 7ce7 4694 50e7 6a34 4637 2.n.c.|.F.P.j4F7
0x00e0: 0a9b 724f 2628 f0d2 2f5e 3904 bd91 9f1d ..rO&(../^9.....
0x00f0: 2203 2e1c 981d d380 4c09 29b4 d282 8a7f ".......L.).....
0x0100: 82c0 681c e34c 446f 2b48 71af 7f33 6850 ..h..LDo+Hq..3hP
0x0110: ba27 4199 4100 e993 324c 09dc a04d 63f1 .'A.A...2L...Mc.
0x0120: 6507 4b68 d637 96dd 68f8 08fe 0174 5167 e.Kh.7..h....tQg
0x0130: b8b4 a6a9 81f1 7ae0 e9df 8d1c d310 bbf1 ......z.........
0x0140: 413e d133 2b75 77b7 f159 4536 aa90 f517 A>.3+uw..YE6....
0x0150: 3993 a721 aec9 e8c2 18be 09bf a967 2ef0 9..!.........g..
0x0160: 5869 252c ad7e 93af 4a08 f053 bf4e ef2e Xi%,.~..J..S.N..
0x0170: e4f9 fd0c e830 9406 08c8 bd21 76cf f6e9 .....0.....!v...
0x0180: b319 3735 d806 c8b9 c43f 030f 1430 b14b ..75.....?...0.K
0x0190: 97bf 4b49 960f 2e7f f528 4d0e dfa5 621a ..KI.....(M...b.
0x01a0: b4a4 6b42 d37b 05e8 04a7 e019 7382 239d ..kB.{......s.#.
0x01b0: 6dbd 7cec 9cd8 afde 4f1f 87d0 303d 6949 m.|.....O...0=iI
0x01c0: 145b b43a 86e7 eb87 2032 0ad8 b1a7 4792 .[.:.....2....G.
0x01d0: 9926 f792 2e1a 8abb 9503 2aa5 f80a 130d .&........*.....
0x01e0: 78db ac49 4566 f5f4 a858 f694 88cc f1f3 x..IEf...X......
0x01f0: bdc9 96bc bda0 0711 fe91 d164 bfa4 ee52 ...........d...R
0x0200: c9dc de9c 56b9 f571 7580 4422 6f26 668f ....V..qu.D"o&f.
0x0210: f9f4 a548 85ca 6c31 3223 462b 2609 62f3 ...H..l12#F+&.b.
0x0220: e995 2d2e 41b1 d079 610a c76c ad7f e332 ..-.A..ya..l...2
0x0230: 6149 d0e1 45de 2907 5138 290c ecb3 b46a aI..E.).Q8)....j
0x0240: 4f11 3fe9 b3b9 d14a 3a6f 173c 5b34 cbba O.?....J:o.<[4..
0x0250: 99d1 bab5 a9c7 e392 c969 abee 3e03 6b78 .........i..>.kx
0x0260: 06ab cf3c 691c 2fae 96b2 7c0e 35e4 2cf1 ...<i./...|.5.,.
0x0270: 44b4 b82b 7288 dffe 5081 1596 386e 9197 D..+r...P...8n..
0x0280: 400b c3ad bf57 b2c2 251f ab4c 07e6 e4ef @....W..%..L....
0x0290: 3590 5026 6840 f987 bb8b 906c 6b96 8a02 5.P&h@.....lk...
0x02a0: d6f4 e830 f49c 883c c69e bd1b 8083 a5b3 ...0...<........
0x02b0: c8ce 26a9 2834 3830 2b41 d667 c148 cd71 ..&.(480+A.g.H.q
0x02c0: c25a 2f6e c25d 336b 85f2 c15c 849c cfd2 .Z/n.]3k...\....
0x02d0: 0ca9 7a45 9000 37c3 2ec7 2603 945a 6aa4 ..zE..7...&..Zj.
0x02e0: cb2b 81f7 1b66 3683 67a4 1495 af31 17fd .+...f6.g....1..
0x02f0: 185f 2ee0 1a34 887b 67b2 6912 7173 3f25 ._...4.{g.i.qs?%
0x0300: 88a7 9885 4de8 4fb0 8891 be32 05c0 a44f ....M.O....2...O
0x0310: 31e7 dbf0 1f8d d857 6e4a 8728 3599 6c5c 1......WnJ.(5.l\
0x0320: 5a37 e2dc 62ad 456d e802 97df b0db 3839 Z7..b.Em......89
0x0330: 4f4a 00bf 7855 bdff 8650 56df 614e b367 OJ..xU...PV.aN.g
0x0340: ea45 8141 b20b e84c a4e0 10b7 2309 ad92 .E.A...L....#...
0x0350: 7ee9 2c55 c0ca a0e2 9f31 8314 0b04 aec0 ~.,U.....1......
0x0360: e233 1b1b 9435 ab09 9708 706f dd85 5555 .3...5....po..UU
0x0370: 9822 3e96 7ce5 b3cc 01da 8cfe 65c8 7a50 .">.|.......e.zP
0x0380: b520 6117 6906 17f3 1299 396c 4b60 1c22 ..a.i.....9lK`."
0x0390: f3c3 ba4a 31a2 e676 4fed c5ac ec6e 654e ...J1..vO....neN
0x03a0: 5521 338e 846f 0ba5 4bba caa1 5370 02fc U!3..o..K...Sp..
0x03b0: 5725 2b1a b4cb 68f7 658f 1957 c829 2f40 W%+...h.e..W.)/@
0x03c0: afe5 228e 40ce d355 21f7 9e73 d5e3 77c9 ..".@..U!..s..w.
0x03d0: a2f4 b04a e3fc 8653 cdc4 6eac f7e5 75ab ...J...S..n...u.
0x03e0: 597f db93 7e9e dd1c c9b4 4cc1 d168 5c87 Y...~.....L..h\.
0x03f0: b39b 4aa0 c591 920c 7d55 7798 fe1c 95da ..J.....}Uw.....
0x0400: 2cdc 6d40 f22b ac68 409e ae83 20ff 3844 ,.m@.+.h@.....8D
0x0410: 6cdc ac2a 02f9 d57f 9053 d4b7 b0db 15bc l..*.....S......
0x0420: c2e5 2065 dc31 a64e 9ca1 8487 3f31 487e ...e.1.N....?1H~
0x0430: f3ed feeb adc1 3be3 4e9c a12d b56f 662b ......;.N..-.of+
0x0440: 5ebe 7d60 2f1e 76c3 61d0 867a 00a6 6e86 ^.}`/.v.a..z..n.
0x0450: 559d 35b0 4b3e 3a4b 04d8 5a10 d2cb 0074 U.5.K>:K..Z....t
0x0460: 33c1 54b3 4ad3 e7a4 7dda fd80 dc1e f0c5 3.T.J...}.......
0x0470: 5ec7 b5ca b723 f677 ffe6 11a9 c7e4 4524 ^....#.w......E$
0x0480: f1cf f6f3 8acc bae6 3f6c 309e 2bc2 438f ........?l0.+.C.
0x0490: f6eb 6821 9e23 cfd5 3bf4 9474 c1db 36d7 ..h!.#..;..t..6.
0x04a0: 8f31 e168 291d bdd4 b5a4 77fc 9f5b d0f0 .1.h).....w..[..
0x04b0: e16e edfa f8b2 3227 8122 877e 9025 3c1f .n....2'.".~.%<.
0x04c0: 5f12 8b71 6d08 adb7 89e5 b839 1c70 f28e _..qm......9.p..
0x04d0: 4275 11fe 9dff efcd 9b21 a02b 2596 0c30 Bu.......!.+%..0
0x04e0: bbed e44c b632 0f5a 284b 48b7 d1d6 ccf7 ...L.2.Z(KH.....
0x04f0: c1c3 ceb1 fb1a 658f 0b5e 2f54 dcca 7e99 ......e..^/T..~.
0x0500: 7098 151b 3c9f 09aa 0a3c 6935 fe26 5e67 p...<....<i5.&^g
0x0510: 4d82 81a4 8ff4 194e cc55 0139 94d7 b437 M......N.U.9...7
0x0520: 7f84 da7c 31df bac1 e8d8 1072 5e76 01ed ...|1......r^v..
0x0530: 0671 f714 acc0 aaa8 2932 f625 d3bd 0a50 .q......)2.%...P
0x0540: 840b 11a7 29e8 a6bb 4bf9 9fe1 a3a8 0bc2 ....)...K.......
0x0550: d19c 0a0f 96a8 e207 c9f6 8d53 bd13 7798 ...........S..w.
0x0560: 5265 912a 35fb a325 cec4 a592 0b42 3b23 Re.*5..%.....B;#
0x0570: bed1 b374 1fed cc49 7247 adfc 74e5 e015 ...t...IrG..t...
0x0580: 9346 f804 df65 db59 ccdb e066 21e2 a1fd .F...e.Y...f!...
0x0590: 9f92 148b 35ef 95e0 054f 4703 0ea5 6b60 ....5....OG...k`
0x05a0: 2c62 f0a1 5ac7 803a 689b 19ff 9b04 8f52 ,b..Z..:h......R
0x05b0: 4651 30d5 3b4e 9548 ed6e b64b 2abf 4a29 FQ0.;N.H.n.K*.J)
0x05c0: 45c1 1b11 823f 85c0 a21a 1114 d8fd b2f3 E....?..........
0x05d0: 1c30 45cf e66e eb50 9338 39b6 0154 a93e .0E..n.P.89..T.>
0x05e0: 98af d0a7 66c7 a388 48fb 93f1 ....f...H...
2014-04-08 21:57:29.310370 00:1c:28:20:43:62 (oui Unknown) > 38:ec:e4:81:7e:f8 (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: ca52 0020 0000 0000 70a4 7d54 e1a5 5071 .R......p.}T..Pq
0x0010: 2cf0 98c7 5f0c 3b36 badc db2e 64fb f8c2 ,..._.;6....d...
0x0020: 23e4 99fb 4ea2 65c0 7341 5f78 9926 59a0 #...N.e.sA_x.&Y.
0x0030: 9d1c 72f8 fbdd 30db c098 2728 8d77 0784 ..r...0...'(.w..
0x0040: 12c0 8932 8f4f f74b fab9 e95c e319 c99b ...2.O.K...\....
0x0050: 0951 3769 2576 8d0b 0243 2fc4 07d3 5e36 .Q7i%v...C/...^6
0x0060: fb59 197c f3be 3b07 85c8 57b1 425f de31 .Y.|..;...W.B_.1
0x0070: 6291 a286 364b 6e6a 7333 eb29 cdcb 2742 b...6Knjs3.)..'B
0x0080: 5c21 05a0 3e58 7358 75e8 45e5 e73c 653a \!..>XsXu.E..<e:
0x0090: 50f8 c5ee 4fc7 a9eb d05b 5b86 1ab5 9f3b P...O....[[....;
0x00a0: cb4e 4be2 96ad 942d 0f36 92b9 f230 5776 .NK....-.6...0Wv
0x00b0: d382 b57f fecd a180 2915 b234 a111 75b9 ........)..4..u.
0x00c0: b65b 2caa efcc 901c 6e3e 51bc 9dda 8f07 .[,.....n>Q.....
0x00d0: 6865 2dbc 0474 428f a896 16cd 9486 24cc he-..tB.......$.
0x00e0: 1ad6 9986 5471 bde9 3c43 dde8 fa88 ca5f ....Tq..<C....._
0x00f0: c74e 29fb 848e 40e6 98bc 7f42 71d5 c4b5 .N)...@....Bq...
0x0100: e365 91b3 f2cb 10ae c51a c438 d5d0 8a0a .e.........8....
0x0110: 5ece e08c ec26 c660 a724 65da f136 6089 ^....&.`.$e..6`.
0x0120: 7606 5c3a 625d 683e c772 029b c9d4 b6e6 v.\:b]h>.r......
0x0130: 3042 6be7 dd2f e3f0 2714 cf8e 2bc5 93bf 0Bk../..'...+...
0x0140: 1469 9121 d88d e769 d2e8 d49f 160b b816 .i.!...i........
0x0150: 6112 530f c78a 2a6d 4e77 5681 ebd7 ba0b a.S...*mNwV.....
0x0160: af1b 1c12 b788 e7b4 ce4b ac7a 32ba d1f7 .........K.z2...
0x0170: d970 a601 dff7 8b97 cb4f c66a 9ccc 6ce6 .p.......O.j..l.
0x0180: ec24 3a64 0f11 b6d0 368e e864 0b5e 9f9f .$:d....6..d.^..
0x0190: 1c68 ad2d a493 ccc6 de29 bf5d 5823 c826 .h.-.....).]X#.&
0x01a0: 02dd a7ef 29aa a69a b8fa 7ed4 ea97 52d3 ....).....~...R.
0x01b0: 7edc 414a a67f e1c7 a10e 4d14 7fb3 e25a ~.AJ......M....Z
0x01c0: 736e 3881 eb8a 9387 116a 9a6d cbc4 472b sn8......j.m..G+
0x01d0: 6e00 7ac9 4b62 9b92 e68e e3ac c351 e397 n.z.Kb.......Q..
0x01e0: 5140 6463 eac5 9a19 649a 8162 eb7e db7b Q@dc....d..b.~.{
0x01f0: a7e2 ddb4 4c48 d253 cbfe 1b34 debd 6dfb ....LH.S...4..m.
0x0200: e3d6 2f58 0b68 4bc5 3c0a 54df 7ff8 a188 ../X.hK.<.T.....
0x0210: e877 2e76 ccdb 35e4 a4eb ca3c c096 b6a6 .w.v..5....<....
0x0220: cdd2 1c04 c960 eac7 8740 f796 a7de 6d99 .....`...@....m.
0x0230: 13cb 02d8 b49a efbb 936f ffb9 6097 05ca .........o..`...
0x0240: 1a28 9eff d494 c294 9d0e 3664 2bfb 58b1 .(........6d+.X.
0x0250: 4aa1 d13d 4793 17d9 301a f343 295f 3298 J..=G...0..C)_2.
0x0260: 6d4c f731 77bf a66b f2db 1eab c069 f0ec mL.1w..k.....i..
0x0270: a5bd 3f7c bc23 bb14 d79c 2a5c ba76 402e ..?|.#....*\.v@.
0x0280: 3179 55b6 e22c 6c71 d75b 73dc e339 4752 1yU..,lq.[s..9GR
0x0290: fb69 b885 604e 6091 86f8 d0c3 dbaa 7a82 .i..`N`.......z.
0x02a0: 5840 1cca 8027 ba8f f0c4 7ece 7a91 b363 X@...'....~.z..c
0x02b0: 3e2e 1e63 d5d4 6707 f7ab c534 25ba 09bf >..c..g....4%...
0x02c0: 98a4 8c17 d7f2 afc8 abc6 d0e8 fdf2 55c4 ..............U.
0x02d0: 2d54 4194 47b4 979d 6690 e8c1 c470 6b11 -TA.G...f....pk.
0x02e0: f50e b5d0 b271 1dda 1ce9 e6b5 278d 8037 .....q......'..7
0x02f0: dd41 3bb9 9ba3 44b0 1cef 26e2 d1c8 f0af .A;...D...&.....
0x0300: 6db7 06c2 df14 a710 31bb a92c 4daa d7b5 m.......1..,M...
0x0310: 185c 0401 345d 13ce 67fd ec4a 75d8 a6d0 .\..4]..g..Ju...
0x0320: 6d37 d607 93e2 891a 7ab1 1c7b 0121 570d m7......z..{.!W.
0x0330: bf6d 5db2 1c8b 7b09 4156 6aa3 102d 5531 .m]...{.AVj..-U1
0x0340: a5e0 b392 1bb3 8f4f b947 1c34 c8be fca0 .......O.G.4....
0x0350: 3c26 50b4 030c 434a 6f54 a432 725a 60cf <&P...CJoT.2rZ`.
0x0360: 32b7 cb20 17ef 444b 5bd1 1364 3b89 17f7 2.....DK[..d;...
0x0370: 5797 1766 91c7 eb61 6758 7462 0b72 9fee W..f...agXtb.r..
0x0380: ed22 ddb8 6116 2b16 a6d2 1149 8a5a babc ."..a.+....I.Z..
0x0390: ad9b b479 b55e 6af0 acd9 ed0a fcae 4b3a ...y.^j.......K:
0x03a0: bce2 51fe c281 54ce ce48 4cdf 2fcd fa2d ..Q...T..HL./..-
0x03b0: 756a ce36 924e fc1c 6066 6d14 dfd5 1003 uj.6.N..`fm.....
0x03c0: 8518 0318 2819 d357 06e7 32a2 7dba 2ec9 ....(..W..2.}...
0x03d0: 3e24 231b 73c6 939d 657c b442 0e67 b318 >$#.s...e|.B.g..
0x03e0: 20c3 6540 a191 e768 fc94 3db9 9c06 b02e ..e@...h..=.....
0x03f0: cdd2 3d62 6a56 91ba ba24 3a1c 35af 3a4b ..=bjV...$:.5.:K
0x0400: 568c 5785 23e1 dcf7 bbe4 3733 fcce 3289 V.W.#.....73..2.
0x0410: d3b5 a322 28fd 0a41 f4fc 7e0e efab 0658 ..."(..A..~....X
0x0420: 00c3 e9fb 80a5 4432 1b50 f84e 95b0 19ce ......D2.P.N....
0x0430: e675 f210 9f94 33b1 b5c1 2c77 1aaa fa27 .u....3...,w...'
0x0440: 8b46 4fd6 7660 0154 b7ed 2ea2 7cd7 11b1 .FO.v`.T....|...
0x0450: 2ce0 bd60 dd0f f180 08d4 bcc7 e0b6 8df2 ,..`............
0x0460: 3fe1 d85a dfca 770c 78e3 b755 2752 bc51 ?..Z..w.x..U'R.Q
0x0470: 76ee 6f21 8829 4b06 a30d 6853 4338 0412 v.o!.)K...hSC8..
0x0480: 3c5e abaa 4053 3d0b 6986 395f ab4b 00c1 <^..@S=.i.9_.K..
0x0490: d8a5 5a55 a0f6 34e8 503f 1abf 43aa a5cf ..ZU..4.P?..C...
0x04a0: 25c0 26b8 8633 8ff7 88e9 08aa 6127 c975 %.&..3......a'.u
0x04b0: 29a1 94cd 732f b8a1 3c73 53d3 5d4c 73c5 )...s/..<sS.]Ls.
0x04c0: 69df d9aa b817 f353 d2e7 fa18 6931 7587 i......S....i1u.
0x04d0: 473c b74f 252a 0be7 c766 5abc 5b7e b022 G<.O%*...fZ.[~."
0x04e0: 406f 30fc c8c9 cce4 a0a2 c712 33d8 f090 @o0.........3...
0x04f0: 9bc5 cbd6 d864 9ac6 d948 d379 e083 457a .....d...H.y..Ez
0x0500: 380b 7c1b e4ad 395e 65e1 c03f b832 3023 8.|...9^e..?.20#
0x0510: 5185 ccde ec17 ec0e 7fd7 c1dd 83aa c838 Q..............8
0x0520: a2a2 b3c8 c7ce 283f bb96 456b ddb4 e63f ......(?..Ek...?
0x0530: c4c0 5237 4cb9 e1da 805d 4cd1 aac2 97f3 ..R7L....]L.....
0x0540: ae47 fdbf cb47 48d4 4ee3 78f5 fbb6 afc9 .G...GH.N.x.....
0x0550: 57a5 cef7 ac98 b575 5758 6994 5db4 e308 W......uWXi.]...
0x0560: 6453 ae9e f1fb 7f0d 5049 00dd ef2a 6c5e dS......PI...*l^
0x0570: fb26 a7c9 88b4 a092 4626 2777 494b 8df2 .&......F&'wIK..
0x0580: ee04 4f93 1005 f56f c105 e9ef 8163 34ec ..O....o.....c4.
0x0590: 732e c5df 7cb4 45d0 eec5 1b88 55a1 4cc0 s...|.E.....U.L.
0x05a0: 036f 88ed be5e 555d c4b1 3f5e b598 e5cb .o...^U]..?^....
0x05b0: 4e8f c940 de77 5497 c4e9 9c25 1d49 e5fe N..@.wT....%.I..
0x05c0: e94b b56f 7b03 246d f470 ecb7 565e 3ad8 .K.o{.$m.p..V^:.
0x05d0: 93e4 9361 1c94 c8a0 75f3 fd86 b1ff d574 ...a....u......t
0x05e0: 7fab 7a92 cf3b 40e8 05d2 84f0 ..z..;@.....
2014-04-08 21:57:29.335728 00:1c:28:20:43:62 (oui Unknown) > 38:ec:e4:81:7e:f8 (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: d352 0020 0000 0000 9d91 ea4d 2cdc 0fcd .R.........M,...
0x0010: 4b04 3086 d5c6 1b95 bee0 907c c63d cfc5 K.0........|.=..
0x0020: d5b1 6dec 6d0b 2796 d7cb dee4 69be 274c ..m.m.'.....i.'L
0x0030: b5e7 b8d7 b7b4 3cad b4cf c5d3 ca3f 7978 ......<......?yx
0x0040: f315 b392 95a3 c24c 864a 7f23 c824 2e6f .......L.J.#.$.o
0x0050: 2ee9 47d8 f088 09e9 394e 092a 2598 b3b1 ..G.....9N.*%...
0x0060: d7ec 955e 1498 db50 f1ad 1777 55d7 3717 ...^...P...wU.7.
0x0070: 1e7b 5631 bc5a 1ddd 43ef 2062 a805 b73e .{V1.Z..C..b...>
0x0080: b40f f71c 738d 6d86 2a17 df96 7059 8bf3 ....s.m.*...pY..
0x0090: b921 0e70 24a9 d34b fcad bb0b c29b 553b .!.p$..K......U;
0x00a0: c52f 522a 7dd7 f46e 3aa4 9437 90ac 4639 ./R*}..n:..7..F9
0x00b0: 5570 1061 30cb 6e63 c31b d1d1 978d c9b8 Up.a0.nc........
0x00c0: bb1e c2ba 7584 290d 81e7 d53e 6903 8dd7 ....u.)....>i...
0x00d0: 2caf 3404 b53a c3f6 9c2c 54df 687d 66ce ,.4..:...,T.h}f.
0x00e0: d0e6 8f27 46b1 e439 491f 00c6 e7dc 955b ...'F..9I......[
0x00f0: ca1a 3dd5 1cc2 d015 4a2e ee70 66e5 8415 ..=.....J..pf...
0x0100: 9fd3 6662 136c 8598 0f0e 0a51 832d 8865 ..fb.l.....Q.-.e
0x0110: 8147 fe5d f460 37cb fdfc 19d8 155c 908c .G.].`7......\..
0x0120: 9dd5 f019 b2b0 1664 d4fd 296d 9ebc a2db .......d..)m....
0x0130: 5804 ca47 c146 e48e 4b8d 5d2c f307 cc70 X..G.F..K.],...p
0x0140: 5fdf d120 299c 51f8 3442 17ec f937 2051 _...).Q.4B...7.Q
0x0150: 1569 2dcd cb68 39d7 427f 1e2f b54d 26fe .i-..h9.B../.M&.
0x0160: 12a4 3ac4 a776 3853 72c7 4b36 46bc 4d15 ..:..v8Sr.K6F.M.
0x0170: 7f61 52bb 8e66 b78c 53ac c6a0 23a8 c092 .aR..f..S...#...
0x0180: 9e8a 9a40 ce2f 6e4c 7c25 b5f6 4060 19c0 ...@./nL|%..@`..
0x0190: 7082 515c 26a5 80c1 e984 8c9b e8f0 6c53 p.Q\&.........lS
0x01a0: e555 3a1a 954d 3e16 455f 6803 0493 c3c7 .U:..M>.E_h.....
0x01b0: 8480 9ace 8fd2 0930 e20b 1b87 9cbe fd46 .......0.......F
0x01c0: ee04 858f 7c07 d035 914b a39a c3af 050e ....|..5.K......
0x01d0: 17aa 8e20 2a6b 82dc 7af1 3162 3927 3a99 ....*k..z.1b9':.
0x01e0: 6a7a bbf7 842a 30bd e96a f85d 1057 8779 jz...*0..j.].W.y
0x01f0: d986 2ea0 63b3 f039 e5ba 4a1e c042 ea59 ....c..9..J..B.Y
0x0200: 256a 0ff4 5411 c088 dd35 d28d e17a 35ab %j..T....5...z5.
0x0210: 8044 8f1c e96d 7a22 1c63 1f4a 04db 4612 .D...mz".c.J..F.
0x0220: 5e2e e184 b651 1847 4dee 2449 4b95 cb13 ^....Q.GM.$IK...
0x0230: 6d48 8bd1 158a 79f3 187b f9dc 0d74 3c7e mH....y..{...t<~
0x0240: dad5 01f4 9337 b5c1 20b6 7e70 7ed5 ab5f .....7....~p~.._
0x0250: b162 dbb0 77d6 0f56 ed66 b668 1ebd 7c96 .b..w..V.f.h..|.
0x0260: 7820 3ff4 c044 7d6f 4203 bc71 7cd2 6609 x.?..D}oB..q|.f.
0x0270: 1e2d 2d80 519d 7b73 4d79 673d 3844 793d .--.Q.{sMyg=8Dy=
0x0280: 3181 4fdd d357 5ed0 279d b720 52d0 18b0 1.O..W^.'...R...
0x0290: 521d 0e50 3270 c168 69de 3e3a 48b2 7526 R..P2p.hi.>:H.u&
0x02a0: ca15 b846 1f73 429d 9393 2cf0 214d 7666 ...F.sB...,.!Mvf
0x02b0: 785f a665 7caa 93df 9596 6186 4239 bc35 x_.e|.....a.B9.5
0x02c0: 88ed e9ed c717 3c61 1ffc dd0f c3bb d359 ......<a.......Y
0x02d0: ab2b 7e53 1b4c ddaa fdef 3041 e051 afad .+~S.L....0A.Q..
0x02e0: dc84 d3d5 4d00 ef19 fc08 9c3f 490e 6cda ....M......?I.l.
0x02f0: b30c 81f1 cbf4 a9c1 968e 9037 8194 cb8e ...........7....
0x0300: b018 dbd4 b836 692f 7c8d 154e 1939 553d .....6i/|..N.9U=
0x0310: 1c4e 4fb6 1f10 f5a1 6aa9 72b0 24d2 7e14 .NO.....j.r.$.~.
0x0320: 6275 5e90 edc2 f3d1 5ae7 f5b9 ece6 a9bc bu^.....Z.......
0x0330: 580f 3192 537e e979 b715 052d da8a 6809 X.1.S~.y...-..h.
0x0340: d6ac 1737 b47a f8a2 6cfa 1589 0d9b 81c3 ...7.z..l.......
0x0350: 9ec0 6933 05a5 1b9d 3350 e9cf 7f25 9c49 ..i3....3P...%.I
0x0360: 80a0 39d6 4f24 78f6 d7ad 2269 a5be cda9 ..9.O$x..."i....
0x0370: 060c 2b44 f949 0470 2a34 9c7b 8de2 e9d7 ..+D.I.p*4.{....
0x0380: 2d26 eba1 e028 dc57 85c2 418a 027d 9be0 -&...(.W..A..}..
0x0390: 1759 37b6 b0f7 190b be92 24a7 7cc3 c634 .Y7.......$.|..4
0x03a0: 3ff1 f31d 46df 2db9 a4fe 4386 2fe4 6db5 ?...F.-...C./.m.
0x03b0: 24ff 3501 433c 592e d831 c1f0 68f4 5c74 $.5.C<Y..1..h.\t
0x03c0: d573 e8cb 4185 dd88 b26c 8cab 156e 4cf6 .s..A....l...nL.
0x03d0: 1024 c8de 7978 6438 9f94 9abc 60eb 4b7a .$..yxd8....`.Kz
0x03e0: 157b 2675 3be6 2ae2 063c d56d 6fea 5906 .{&u;.*..<.mo.Y.
0x03f0: a09a 047e 2c51 1008 bb82 5bca 391a f2dc ...~,Q....[.9...
0x0400: 907e c32a 54b5 aa45 15b8 6479 a038 21c3 .~.*T..E..dy.8!.
0x0410: c639 4ba0 d2a9 e213 1ab1 3a93 ad2b 9fe7 .9K.......:..+..
0x0420: e924 c66f 652c bb7a d3f8 61d2 b4ea 9754 .$.oe,.z..a....T
0x0430: bed0 c85a 1a53 2f73 7b75 7bfe 222f edaf ...Z.S/s{u{."/..
0x0440: ee70 0bf5 17cb 09a8 8385 88e6 8f69 2179 .p...........i!y
0x0450: db00 1231 3f4f 581c f63c 192c d2d2 2e2b ...1?OX..<.,...+
0x0460: f35f 7b11 dac7 f939 7cb0 9d90 956a 4765 ._{....9|....jGe
0x0470: 662d d00f a45a 6452 8d3c b415 82f0 e1ba f-...ZdR.<......
0x0480: 8ab5 32a9 13a3 8056 b5c7 0a5a abd9 1ea9 ..2....V...Z....
0x0490: 4e52 e2ff ce2b d44b 9eee afb6 7fd3 2af4 NR...+.K......*.
0x04a0: 8527 3075 3955 9a9a 2ff6 f75e 7a08 97ea .'0u9U../..^z...
0x04b0: d053 db2e d38c b350 9285 ea0c 30c5 f8eb .S.....P....0...
0x04c0: 7348 e136 5c31 5962 fe0b dc3d e42c ee8e sH.6\1Yb...=.,..
0x04d0: c7fb cbf5 f99e 94f2 6ec2 0c7d ee62 aaaf ........n..}.b..
0x04e0: 6db3 628d b692 50dc 4fee d46c 0a36 dc27 m.b...P.O..l.6.'
0x04f0: dcb9 3a2d dea3 5211 2ba9 9557 fa54 71b7 ..:-..R.+..W.Tq.
0x0500: 091a cc38 5b06 abb9 2e8d 503a 282d 3f6b ...8[.....P:(-?k
0x0510: 5e27 eeb8 2a60 daa0 c741 74d7 b54e 8e1e ^'..*`...At..N..
0x0520: 17df 6790 95a5 c39c 04a0 d95e 0bbf 7fe3 ..g........^....
0x0530: cae8 daa2 e560 b038 6271 4873 85c7 0b90 .....`.8bqHs....
0x0540: 1287 9207 6b68 6acd 615c e8e1 abf5 edfe ....khj.a\......
0x0550: 21b3 a94c 6b6b 415d 45c5 87cf 0c82 73ff !..LkkA]E.....s.
0x0560: 9fa7 d699 4638 a075 2b9c 7b84 a5bd 3a58 ....F8.u+.{...:X
0x0570: b4e1 352f 4123 c195 addb bbbc 5a93 bff0 ..5/A#......Z...
0x0580: 4015 1d86 c84c 39bb f61d 4071 d95b 6d27 @....L9...@q.[m'
0x0590: eda8 7b57 315b 95bf a416 38ed 04f2 f62e ..{W1[....8.....
0x05a0: 0301 af44 7fa0 357f b850 0299 0e38 4673 ...D..5..P...8Fs
0x05b0: bf81 91e4 9e20 7d7b 023d 84f4 eb32 b37b ......}{.=...2.{
0x05c0: a70e 3cb2 394a 7219 b24f f0ab 9de7 61e1 ..<.9Jr..O....a.
0x05d0: f523 fd50 b5a7 15d0 c592 a9a0 bae2 4e4d .#.P..........NM
0x05e0: 4ab2 a929 6e57 4719 93ab b851 J..)nWG....Q
2014-04-08 21:57:29.351735 00:1c:28:20:43:62 (oui Unknown) > 38:ec:e4:81:7e:f8 (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: d852 0020 0000 0000 6a25 b473 1d7f 6afc .R......j%.s..j.
0x0010: a699 4954 ecc7 77e3 1fea af7a 4640 18e9 ..IT..w....zF@..
0x0020: 303b 634c f261 c5b0 06ec bd52 e26f 55d9 0;cL.a.....R.oU.
0x0030: 5cd6 981d d552 a34d 4b16 12b2 9913 eca5 \....R.MK.......
0x0040: bfb8 6854 d4b5 c1ff 847a e974 873a a49b ..hT.....z.t.:..
0x0050: 025a c088 69e4 95a2 563d 2546 d068 7d4f .Z..i...V=%F.h}O
0x0060: 250a 4f26 546b c7fe f434 7fd0 bf46 8066 %.O&Tk...4...F.f
0x0070: ed5d 98f8 708a 366b 02b6 eca0 8251 ef79 .]..p.6k.....Q.y
0x0080: 17b1 6ce2 f4fb 3e10 1370 f86f 4688 683d ..l...>..p.oF.h=
0x0090: ba45 e445 e8b8 e299 d764 c4e1 7328 6c90 .E.E.....d..s(l.
0x00a0: c6ab ec3d c739 b9bd 5818 c4ef 6ee2 7d1a ...=.9..X...n.}.
0x00b0: 8f9a 875e 8eae c485 400f 3a38 89f2 bdbe ...^....@.:8....
0x00c0: 5326 e3eb 4cb7 eb21 6f58 b5c7 8c60 ad13 S&..L..!oX...`..
0x00d0: f41e 8053 8d96 a5ff 5200 ae38 9627 76c2 ...S....R..8.'v.
0x00e0: 0ab2 4ff6 2e85 f3c8 e8bc f5a0 1093 2824 ..O...........($
0x00f0: 368a f7c3 477d 7cbf bc78 c232 9fc2 bfec 6...G}|..x.2....
0x0100: 1371 296b ecca f73a 4f2e f9c5 d92c 0ee6 .q)k...:O....,..
0x0110: 714f 41c6 bf27 1a5d f852 7a7d 5ba4 f4b2 qOA..'.].Rz}[...
0x0120: 9abe 40a9 f8b9 f067 198f 38ca 4b9c 7f7e ..@....g..8.K..~
0x0130: a8f0 5373 a5f9 e146 fdd5 daf4 f18d 078f ..Ss...F........
0x0140: 5b60 4421 743a e83a da74 4718 7be7 576f [`D!t:.:.tG.{.Wo
0x0150: cc7c 2f54 adac 4c12 5cd8 c656 dbc8 e918 .|/T..L.\..V....
0x0160: 3f16 868b 1e26 d5ed a9dc ac05 9a9e 9b16 ?....&..........
0x0170: 29fe ff9a 961f e8bb beb0 d3bd e5fc c106 )...............
0x0180: 6fcb 808c b804 69aa ef66 b3b8 4554 a075 o.....i..f..ET.u
0x0190: a39e ce30 5802 8776 60d0 9944 e04a 4ede ...0X..v`..D.JN.
0x01a0: edb2 7b0a 673e ab37 7e47 09eb d213 e058 ..{.g>.7~G.....X
0x01b0: d087 9c2f ab94 baab c481 0e99 47a8 abca .../........G...
0x01c0: 4eaf 2a75 a5ad 911f ea94 67c8 525e bc29 N.*u......g.R^.)
0x01d0: f65f 3fb9 9f29 2392 e38e 8f09 7e89 c86e ._?..)#.....~..n
0x01e0: 01a7 88f4 77fc 8ab1 b0d6 6f3c 753d 6477 ....w.....o<u=dw
0x01f0: 9850 9b87 dc00 5599 22d7 2c8e b97c 6fca .P....U.".,..|o.
0x0200: ce34 55ec e506 b609 b2c2 150a f252 2132 .4U..........R!2
0x0210: 9f04 7856 d35b 38de 3ae8 95f0 e91a 476d ..xV.[8.:.....Gm
0x0220: 7f67 bb52 5a80 c96e 4fe0 6924 52a8 84be .g.RZ..nO.i$R...
0x0230: 5b2b baeb 36f5 815f dd88 e71c 493c 9e4a [+..6.._....I<.J
0x0240: 7029 38cb 02e1 465b 85e0 2901 8ca1 d4e4 p)8...F[..).....
0x0250: 9766 ed46 7bd7 fbbe cfa9 89f4 98cc 93aa .f.F{...........
0x0260: 1e1f 9d05 cde8 e95a e822 ddc9 a995 01f6 .......Z."......
0x0270: 60ae 3b7a 8ff6 3405 3d4a 1410 58da a877 `.;z..4.=J..X..w
0x0280: 9a69 2133 90b6 2883 d812 d313 a084 393f .i!3..(.......9?
0x0290: 3501 eed9 b23b 39ea 9b54 b2d1 e421 0df0 5....;9..T...!..
0x02a0: 2bcc 7314 1e19 d25c 39c4 4bab f1e8 c806 +.s....\9.K.....
0x02b0: 197b 3e76 bb93 2002 4522 b78e 7208 5aec .{>v....E"..r.Z.
0x02c0: c430 ba86 3b78 5b2d 9bff c171 a85f b035 .0..;x[-...q._.5
0x02d0: bd49 cd05 f926 5476 5ace 99ab a62b a21a .I...&TvZ....+..
0x02e0: ce29 2eb9 64f7 ddd2 09d3 9a10 a582 b926 .)..d..........&
0x02f0: 5e7f af10 b730 79fa 4e7e 66c1 c02b 1047 ^....0y.N~f..+.G
0x0300: 3093 422d 72dd aa95 dbd7 b8aa 04bd db5f 0.B-r.........._
0x0310: ab7d fd81 7ca2 7349 c885 9525 0b90 1a53 .}..|.sI...%...S
0x0320: 6ca3 e762 0087 8fb1 6175 f987 8aa8 894f l..b....au.....O
0x0330: 4ddb 47d5 716e 233e 07dd 5d13 ecac aac8 M.G.qn#>..].....
0x0340: 1c7f 8b71 2af8 eac2 129c 0c79 55d7 c378 ...q*......yU..x
0x0350: 8a5e ee05 eb6f 3765 9720 58e0 8054 b6b1 .^...o7e..X..T..
0x0360: 542b 7ac5 ccbe a9df 4f53 2e35 fec8 c1ce T+z.....OS.5....
0x0370: f62f 7309 8ddc 5234 d4ac a08f 85dd 37a7 ./s...R4......7.
0x0380: 5c70 ab76 e009 9b0f c758 9479 6f21 160b \p.v.....X.yo!..
0x0390: a6e8 8831 2cee 76d6 30f9 aea3 8bb8 0d42 ...1,.v.0......B
0x03a0: 3b62 73f4 a6a1 f589 61cf 10f7 0097 7490 ;bs.....a.....t.
0x03b0: 7c55 cf3d 2722 4fe5 adcf 29ed 030f 238e |U.='"O...)...#.
0x03c0: a8fb 39c2 1c18 5df4 1c1a 0531 0dbd d3dc ..9...]....1....
0x03d0: 58c8 3e18 a03c 304c 45b2 3164 a302 2ded X.>..<0LE.1d..-.
0x03e0: 5249 e4e9 f7fc 3180 2c50 d1a8 09bf f323 RI....1.,P.....#
0x03f0: cfdd 4568 6ba8 25b4 cca4 db23 765b 6a64 ..Ehk.%....#v[jd
0x0400: 7bcd 7230 e28e bf8a 0de3 15d2 561b 877e {.r0........V..~
0x0410: a4d1 18b7 991f ba33 22bc 6b45 d9d9 0296 .......3".kE....
0x0420: dcf0 7127 8a19 5d93 c53e efc9 f0ae 8b61 ..q'..]..>.....a
0x0430: fdd1 6fd9 5089 c008 f8ef d949 5d1f a6da ..o.P......I]...
0x0440: ebf3 ab4b 51e2 93fb 0853 d3ec 564c c767 ...KQ....S..VL.g
0x0450: 28b3 34fe 4547 05e6 19b4 68ce 73c7 e98a (.4.EG....h.s...
0x0460: b7b3 5dd2 8136 a5e8 e97b f4e9 53a3 ca5e ..]..6...{..S..^
0x0470: 9116 9ca3 8f8d 680e 3ba4 6ae4 4fe9 f719 ......h.;.j.O...
0x0480: 9e42 130f 6828 ddea e5e5 8a83 9cb7 059a .B..h(..........
0x0490: f373 0113 f786 e953 f31d 082b 5d87 a566 .s.....S...+]..f
0x04a0: b348 c93e b57f 413b f14a 0fe1 bfcf e398 .H.>..A;.J......
0x04b0: 5eea a934 a883 e094 63f2 3abb a8e3 c570 ^..4....c.:....p
0x04c0: 83fa 312e 7049 da8a 47cf 95f2 d8c4 1215 ..1.pI..G.......
0x04d0: 6178 5417 47aa 325c e755 e18a ea61 98bf axT.G.2\.U...a..
0x04e0: 497d 3f47 5d2b d81a 8de7 ac31 8041 15ad I}?G]+.....1.A..
0x04f0: 72b4 ace9 5170 16e6 b4fa ace4 b74c f99c r...Qp.......L..
0x0500: b21e 4c4a 973b d39e 3d84 a920 6b6a aa76 ..LJ.;..=...kj.v
0x0510: 944a 921a 922f 390f 56af 8728 712a 12d0 .J.../9.V..(q*..
0x0520: cfbf e79c 4a01 8d43 048b f170 a829 ac3b ....J..C...p.).;
0x0530: db93 dca7 931b ab04 ff4e 2c85 2fe4 0e94 .........N,./...
0x0540: 1d99 d0f3 6466 69b1 0968 a222 41ec 9631 ....dfi..h."A..1
0x0550: 3852 f4a4 9265 aca8 0cd8 9129 c10f 6762 8R...e.....)..gb
0x0560: 1e82 f500 d447 f011 9095 7b6e 5a32 2374 .....G....{nZ2#t
0x0570: c921 df05 cd39 07a9 657b dc5a 77d6 e7d4 .!...9..e{.Zw...
0x0580: 20de 1f7e 41f5 29c9 c401 08af f6a9 cbab ...~A.).........
0x0590: a176 cb9a bdcf e5d0 dde8 587f 5f12 c0ed .v........X._...
0x05a0: 4d51 89de edc1 72a4 195c c182 60c1 7283 MQ....r..\..`.r.
0x05b0: d203 d686 72b1 a1c4 fdd0 5c95 d663 bf96 ....r.....\..c..
0x05c0: 6277 6ec8 67b0 9a22 99a3 d949 ba13 3052 bwn.g.."...I..0R
0x05d0: 646c 25ce a75e 0bb6 9ce9 3343 60d8 e910 dl%..^....3C`...
0x05e0: d4d6 fcf5 dcce 0de2 ca62 973d .........b.=
2014-04-08 21:57:29.366543 00:1c:28:20:43:62 (oui Unknown) > 38:ec:e4:81:7e:f8 (oui Unknown), ethertype Unknown (0x05ec), length 1530:
0x0000: de52 0020 0000 0000 37ab 6552 5fab 858c .R......7.eR_...
0x0010: 3259 1db2 f98c b219 eefc 1892 edc2 a61c 2Y..............
0x0020: 2ccb d168 55a0 9887 de96 df35 f3a5 326d ,..hU......5..2m
0x0030: e590 f178 5039 3ec2 868f 945f 58b1 b021 ...xP9>...._X..!
0x0040: 0fca a5f1 afb6 292b 51b9 ade8 b9b7 96a8 ......)+Q.......
0x0050: e6f9 121d d415 1cf6 1960 3bdb 64dd 6817 .........`;.d.h.
0x0060: 230d 7603 8b4c ab37 2642 6fc3 8d7f 8e34 #.v..L.7&Bo....4
0x0070: 9f17 40b2 29e9 0192 760c fa20 2e13 c78e ..@.)...v.......
0x0080: 0f8a 3c9a 87e9 cd42 c3cd 9e38 808e 0215 ..<....B...8....
0x0090: a238 107e 4dee a422 f4f7 5690 d0a5 2921 .8.~M.."..V...)!
0x00a0: 74fd bd62 57d7 ecf1 5ca7 f13c 0aab 9f45 t..bW...\..<...E
0x00b0: 3555 87e9 33a6 e706 2094 4678 5cfb 9054 5U..3.....Fx\..T
0x00c0: bf63 c623 775b b6ad 5e5d 541d 3de4 72e5 .c.#w[..^]T.=.r.
0x00d0: bb87 e9e0 963d aef8 4502 5db0 e7ad 2be3 .....=..E.]...+.
0x00e0: 4f6a bc7d b871 2fbf ba22 cb5e 5f72 d2c6 Oj.}.q/..".^_r..
0x00f0: 4dba 8ca0 06ec 3a7d 9248 fe24 1269 fb76 M.....:}.H.$.i.v
0x0100: 7d9d c72d a23c 9f7a 8ae3 335e 3a86 5df1 }..-.<.z..3^:.].
0x0110: 36f5 2574 7701 774c d314 a2db 9941 b6f6 6.%tw.wL.....A..
0x0120: 250f 463d 488a e49d a13e 8949 93e5 ce1e %.F=H....>.I....
0x0130: fd77 970e d6b7 e477 694a 64ec 0466 33ed .w.....wiJd..f3.
0x0140: c7c9 c305 f6eb 50f8 b867 8057 8a60 99f6 ......P..g.W.`..
0x0150: a1e7 5594 4fd4 4778 015d 6935 3606 5e24 ..U.O.Gx.]i56.^$
0x0160: d36b e4e3 a43e 377b c617 2150 27d2 2d2a .k...>7{..!P'.-*
0x0170: 1235 9a8a 70b3 d5e2 23fe d92c 89a4 bcc3 .5..p...#..,....
0x0180: b2f1 9997 d3b9 86c6 0d92 905e 11d6 3d4b ...........^..=K
0x0190: 5585 ecc3 b1b2 5c4d 9759 bf74 6c42 c78b U.....\M.Y.tlB..
0x01a0: 8d9f c237 854f 4f6c c052 2045 1cbf 712f ...7.OOl.R.E..q/
0x01b0: 94d7 68b2 07c0 6b7e e870 faa7 a8d4 540f ..h...k~.p....T.
0x01c0: 519e 7be7 5c30 f43c 4f68 2820 4771 cbea Q.{.\0.<Oh(.Gq..
0x01d0: d76e 62fb c45f 4e14 b0f1 7d39 fd62 6b0d .nb.._N...}9.bk.
0x01e0: 6e6d 9ade 63fc 5b8a 8767 a3e4 31e2 17a5 nm..c.[..g..1...
0x01f0: 089e fd05 444a f795 3b4f 10e9 88f3 f1b9 ....DJ..;O......
0x0200: 4b5d 260f 5bc2 c60e 6102 c598 8980 45f0 K]&.[...a.....E.
0x0210: 875d 67e5 8e1a ce6c 3775 85f6 3d66 1558 .]g....l7u..=f.X
0x0220: 4b07 6325 7fe7 f8da db9b 1b1b 1579 cd90 K.c%.........y..
0x0230: b1c0 5ad2 6f7c d38e 7afd 5140 87a0 648c ..Z.o|..z.Q@..d.
0x0240: d117 b435 bcb6 14ae b4a9 5292 a803 39ef ...5......R...9.
0x0250: 3102 dfad 4195 5aa5 972b e272 596e 06b8 1...A.Z..+.rYn..
0x0260: b68b e5b5 4665 47a0 f0c0 a666 eedf 9780 ....FeG....f....
0x0270: 3d66 d793 81a1 cad8 16df 70b0 bdc9 9f60 =f........p....`
0x0280: 125c d859 6881 4744 5836 61b1 dbfe 12e6 .\.Yh.GDX6a.....
0x0290: 7156 10b7 a729 159c 314e 700e b016 793c qV...)..1Np...y<
0x02a0: 02a1 dbc7 4695 70ba b072 a38e c6d7 d4b1 ....F.p..r......
0x02b0: f7e7 288a af6d 7fe0 843f f41a d3ce c23f ..(..m...?.....?
0x02c0: 2d06 f0e1 6f4a 1482 59b4 d801 3830 4483 -...oJ..Y...80D.
0x02d0: 1dde 9440 4f99 ab89 eb21 dc09 0435 53b2 ...@O....!...5S.
0x02e0: 96a7 d5ae a4de 0f61 836e 7109 c91e 315d .......a.nq...1]
0x02f0: 1240 62ad 96b1 09e0 cd16 959b a01b 2cd4 .@b...........,.
0x0300: c0b2 e4e5 0290 d9ec 1c55 b35a 3bf0 e5f3 .........U.Z;...
0x0310: 9c96 458f 7368 e192 df0f acdf 1e9f bcab ..E.sh..........
0x0320: f886 8b15 391f 5fcd 782e ee16 e3ad b042 ....9._.x......B
0x0330: 50b5 eb38 7a40 ae6b c59f e4b1 e9b6 9410 P..8z@.k........
0x0340: e227 a58d e664 8c2a f42a e3e2 b9c8 cddc .'...d.*.*......
0x0350: 1b37 80ee dc0f 4663 ddd5 6dc6 5fb5 bad2 .7....Fc..m._...
0x0360: c652 541b 0c90 d8c4 4223 8a40 63db e760 .RT.....B#.@c..`
0x0370: 0061 d5d6 b164 3107 5a8c c795 b927 a8f3 .a...d1.Z....'..
0x0380: e577 fde3 7be1 3bbc c1ba 2c3a 132d b508 .w..{.;...,:.-..
0x0390: ade0 9bbc 209c cc02 31cb 655b 457b cdb4 ........1.e[E{..
0x03a0: 53a1 e0f1 4471 6b8b 6a03 42d1 8fc7 e0f7 S...Dqk.j.B.....
0x03b0: 7abf d1f3 8ac0 1708 40c2 9a4b b532 11c5 z.......@..K.2..
0x03c0: d673 71b1 90f3 1588 01da 3c77 f0af e11c .sq.......<w....
0x03d0: f4f6 be05 c182 553a f5aa 458c 2b7e 796f ......U:..E.+~yo
0x03e0: 765f 5f0b 4cd9 3789 7b4e f0c5 bd8e 225f v__.L.7.{N...."_
0x03f0: 2bfd cc23 dba1 d8cc 65ed 375f b493 0cd8 +..#....e.7_....
0x0400: 6d1f ff50 3f42 b3f6 2958 0e53 8f7d b94f m..P?B..)X.S.}.O
0x0410: a376 4aff 69c6 149c 606c 2f1d 8020 00e6 .vJ.i...`l/.....
0x0420: fedf e530 9c8b 9f46 05a4 0242 a9c6 2cd6 ...0...F...B..,.
0x0430: 9c64 f855 967c 72cf 595a 4856 9ba1 a8d8 .d.U.|r.YZHV....
0x0440: 7931 78da c188 3259 88a6 7cb9 1226 666a y1x...2Y..|..&fj
0x0450: 46d6 6bdb 1aca 2f2a 4964 a669 5625 4b7c F.k.../*Id.iV%K|
0x0460: 9bb4 ca88 f834 ede7 85e9 1726 7a6d 9655 .....4.....&zm.U
0x0470: f341 0fc2 8176 c296 d859 d3f4 efd6 9b06 .A...v...Y......
0x0480: 2462 e42e 068b 7f9c bea7 6cdc b294 565b $b........l...V[
0x0490: 4f2d bbd2 4685 70bc 2428 bc97 43ff 0e4d O-..F.p.$(..C..M
0x04a0: b4bd 6400 6017 5447 86e6 c7b9 70e9 3068 ..d.`.TG....p.0h
0x04b0: 2994 9aa8 d2fd 51d3 09f4 9a53 6325 4a38 ).....Q....Sc%J8
0x04c0: 446f 8d42 b812 1ace 3549 9d1a 8a83 3050 Do.B....5I....0P
0x04d0: 4d66 e423 cf72 f028 2cda 64bc 31f8 bee2 Mf.#.r.(,.d.1...
0x04e0: b717 4ecf d4ce 0221 ef2f 1472 ee7c ecb0 ..N....!./.r.|..
0x04f0: 377c d2be 5e2e d888 d632 f605 4070 b094 7|..^....2..@p..
0x0500: eff4 8bb5 ecbc 8c8d 32af 4e55 d250 c2d6 ........2.NU.P..
0x0510: 031b d408 1c3c 9eda a9d9 9431 5e29 c450 .....<.....1^).P
0x0520: 1124 2927 1c38 ccaa fd39 9350 4e27 4a5c .$)'.8...9.PN'J\
0x0530: 95fd c887 bb4c 0149 ee75 951e bf39 6299 .....L.I.u...9b.
0x0540: 7c6d 0b97 269b 14ff 1656 9330 e718 0451 |m..&....V.0...Q
0x0550: 76bf 3aaa 7a9a f4b8 440d 95a3 b5d4 a5fc v.:.z...D.......
0x0560: 8c73 1e82 8c2c a9ca bc06 9e4a d396 3daa .s...,.....J..=.
0x0570: 8ed0 514c cd20 512c 9207 cdca 2c83 c41c ..QL..Q,....,...
0x0580: cec6 6280 1220 9755 b01b a4ec dec1 961c ..b....U........
0x0590: aef0 5770 a2fa 41c4 6817 9892 ff6b 32a0 ..Wp..A.h....k2.
0x05a0: 6d0c 4be9 dd17 06bd 21af a648 5478 a0cd m.K.....!..HTx..
0x05b0: f88f 787b f6e3 ca12 934c 14af 5ce7 655d ..x{.....L..\.e]
0x05c0: 16c7 9dc9 bd6e afa7 7d9d a153 85f1 d3ea .....n..}..S....
0x05d0: f79d 5d4a 804d 73da f04a 90f0 275b c514 ..]J.Ms..J..'[..
0x05e0: 33b5 8952 aba6 ce32 7162 4f4b 3..R...2qbOK
2014-04-08 21:57:34.475809 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x52 > 38:ec:e4:81:7e:f8 (oui Unknown) IPX Information, send seq 0, rcv seq 16, Flags [Command], length 64
2014-04-08 21:57:44.712903 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x1e > d8:50:e6:69:14:7e (oui Unknown) Unknown DSAP 0x4c Information, send seq 0, rcv seq 16, Flags [Command], length 64
2014-04-08 21:57:49.517328 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x52 > 38:ec:e4:81:7e:f8 (oui Unknown) IPX Information, send seq 0, rcv seq 16, Flags [Command], length 76
2014-04-08 21:57:49.540951 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x52 > 38:ec:e4:81:7e:f8 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Command], length 64
2014-04-08 21:57:49.590063 00:1c:28:20:43:62 (oui Unknown) Unknown SSAP 0x52 > 38:ec:e4:81:7e:f8 (oui Unknown) Unknown DSAP 0xe2 Information, send seq 0, rcv seq 16, Flags [Command], length 505

tictactux
08.04.14, 22:20
dazu z.b.

http://serverfault.com/questions/202777/what-do-unknown-ssap-and-unknown-dsap-mean-in-tcpdump

Du hast WLan am Rechner? das sorgt schon mal für Traffic.
Samba/Windows-Rechner im Netz? Die auch.
Router/NAS oder sonstige Geräte mit DLNA oder sonstigen Broadcasting Diensten? Die dann sowieso.

Fazit: Netzwerktraffic kommt nicht nur vom Browser.

Vielleicht helfen etherape oder iptraf den Netzwerkverkehr zuzuordnen.

Pinguin
11.04.14, 18:45
Danke für den Tipp mit Etherape. Das gibt einem wirklich einen guten Überblick. Ich habe nochmal Rkhunter durchlaufen lassen und jetzt 6 verdächtige Dateien gefunden.. Auf meinem Notebook geht auch einiges nicht mit rechten Dingen zu, ich habe die Internetverbindung gekapt, im Log konnte ich sehen, dass sich WLAN trotzdem aufgebaut hat.

Im log konnte ich sehen wie sich mein user als root anmelden wollte, ich war zu dem Zeitpunkt jedoch nicht am Rechner. Zahlreiche Einwählversuche. Zum Glück ist mein Passwort gut :p

Die WLAN-Karte wurde immer wieder aktiviert, obwohl ich es deaktiviert hatte.

Erst nachdem ich im Router WLAN deaktiviert habe ist jetzt kein Versuch mehr erfolgreich gewesen.

Hier das Ergebnis von Rootkit-hunter:


root@magict:/home# nautilus
Initializing nautilus-gdu extension
Nautilus-Share-Message: Called "net usershare info" but it failed: »net usershare« gab den Fehler 255 zurück: net usershare: cannot open usershare directory /var/lib/samba/usershares. Error Datei oder Verzeichnis nicht gefunden
Please ask your system administrator to enable user sharing.

Shutting down nautilus-gdu extension
root@magict:/home# rkhunter -check
Invalid option specified: -check
root@magict:/home# rkhunter check
Invalid option specified: check
root@magict:/home# rkhunter -c
[ Rootkit Hunter version 1.3.8 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/curl [ Warning ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ Warning ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ Warning ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ Warning ]
/sbin/ifup [ Warning ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/dash [ OK ]

[Press <ENTER> to continue]


Checking for rootkits...

Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
cb Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
FreeBSD Rootkit [ Not found ]
Fu Rootkit [ Not found ]
****`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
iLLogiC Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
ld-linuxv.so Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
'Spanish' Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
trNkit Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
Xzibit Rootkit [ Not found ]
X-Org SunOS Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]

Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]

[Press <ENTER> to continue]


Checking the network...

Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

[Press <ENTER> to continue]



System checks summary
=====================

File properties checks...
Files checked: 133
Suspect files: 6

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 3 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)



Was meint Ihr wie ich verfahren soll? Ich habe das System schon mehrmals neu aufgesetzt, aber irgendwie scheint sich jemand immer wieder einzuschleichen und die Festplatte komplett formatiert und gelöscht. Ich habe keine Ahnung, wie ich das BIOS nue installieren soll oder was sonst zu tuen ist.:(

tictactux
12.04.14, 12:09
Prüfe erstmal lieber deine Hardware ordentlich, scheint mir eher als Ursache in Frage zu kommen als eine solche rootkit-Vermutung, zumindest bei dem was du an Informationen lieferst.

Also Dinge wie: arbeiten alle Lüfter korrekt, Stecker fest, bzw. falls vorhanden sitzen einsteckbare Module fest?

Was sagt die Temperatur im Notebook während es langsam wird? (geht auslesen mit acpi oder acpitool in linux (oder die thermal-dateien in /sys oder /proc, je nach system)

Die Warnings von rkhunter kann man generell ignorieren, und ohne die Details in /var/log/rkhunter.log gelesen zu haben kann man die Ausgabe auch nicht sinnvoll beurteilen.

rkhunter warnt bei etlichen Befehlen die völlig legitim auf einem System sind (z.B: das GET bei dir, oder /usr/bin/slice bei mir) weil es zufällig rootgits gibt die gleichnamige Dinge installieren, gerne auch bei Pulse-Audio devices in /dev und und...



Im log konnte ich sehen wie sich mein user als root anmelden wollte, ich war zu dem Zeitpunkt jedoch nicht am Rechner.
bitte exakte informationen, sowas hilft keinem.

Pinguin
12.04.14, 21:33
Im syslog unter /var/log/syslog kann man recht genau nachvollziehen, wenn sich ein user anmeldet, in meinem fall hat mein user versucht sich rootrechte zu geben, viermal. Ich kann es leider nicht beweisen, da die Logdatei nur noch den aktuellen tag aufzeichnet, aber Du kannst es mir ruhig glauben.

Hier mal die Log-Datei von Tiger Security Systems. (Einige Warnungen kann ich nachvollziehen, bspw. die zwei Arbeitsflächen/Desktops, da ich diesen umbenannt habe. Außerdem die zahlreichen user-log-in-warnungen, da ich den Gast-log-in deaktiviert habe. Die Lüfter sind korekkt eingebaut.

Die Grafikkarte dreht nur voll auf, dafür mache ich einfach mal den Linux-Treiber verantwortlich.

Achte auf den avahi-Dienst, ist das tatsächlich eine Warnung, die man getrost als normal abhaken kann??

Die komplette Datei ist leider ca. 400000 Zeichen lang, daher hier einige Passagen, die mir aufgefallen sind:



# Performing check of group files...

# Performing check of user accounts...
# Checking accounts from /etc/passwd.
--WARN-- [acc021w] Login ID avahi-autoipd appears to be a dormant account.
--WARN-- [acc021w] Login ID libuuid appears to be a dormant account.
--WARN-- [acc022w] Login ID nobody home directory (/nonexistent) is not
accessible.

# Performing check of /etc/hosts.equiv and .rhosts files...

# Checking accounts from /etc/passwd...

# Performing check of .netrc files...

# Checking accounts from /etc/passwd...

# Performing common access checks for root (in /etc/default/login, /securetty, and /etc/ttytab...
--WARN-- [root003w] Root user has message capability turned on.

# Performing check of PATH components...
--WARN-- [path009w] /etc/profile does not export an initial setting for PATH.
# Only checking user 'root'

# Performing check of anonymous FTP...

# Performing checks of mail aliases...
# Checking aliases from /etc/aliases.

# Performing check of `cron' entries...
--WARN-- [cron004w] Root crontab does not exist
--WARN-- [cron005w] Use of cron is not restricted

# Performing check of 'services' ...
# Checking services from /etc/services.
--WARN-- [inet003w] The port for service www is also assigned to service http.
--WARN-- [inet003w] The port for service www is also assigned to service http.
--WARN-- [inet003w] The port for service gds_db is also assigned to service
gds-db.
--WARN-- [inet003w] The port for service gds_db is also assigned to service
gds-db.
--WARN-- [inet003w] The port for service kerberos_master is also assigned to
service kerberos-master.
--WARN-- [inet003w] The port for service kerberos_master is also assigned to
service kerberos-master.
--WARN-- [inet003w] The port for service passwd_server is also assigned to
service passwd-server.
--WARN-- [inet003w] The port for service krb_prop is also assigned to service
krb-prop.
--WARN-- [inet003w] The port for service moira_db is also assigned to service
moira-db.
--WARN-- [inet003w] The port for service moira_update is also assigned to
service moira-update.
--WARN-- [inet003w] The port for service moira_ureg is also assigned to
service moira-ureg.
--WARN-- [inet003w] The port for service sieve is also assigned to service
cisco-sccp.
--WARN-- [inet003w] The port for service ndtp is also assigned to service
pipe-server.
--WARN-- [inet003w] The port for service ndtp is also assigned to service
search.
--WARN-- [inet003w] The port for service postgres is also assigned to service
postgresql.
--WARN-- [inet003w] The port for service postgres is also assigned to service
postgresql.
--WARN-- [inet003w] The port for service sane is also assigned to service
sane-port.
--WARN-- [inet003w] The port for service webcache is also assigned to service
http-alt.
--WARN-- [inet003w] The port for service webcache is also assigned to service
http-alt.

# Performing NFS exports check...

# Performing check of system file permissions...
--ALERT-- [perm023a] /bin/su is setuid to `root'.
--ALERT-- [perm023a] /usr/bin/at is setuid to `daemon'.
--ALERT-- [perm024a] /usr/bin/at is setgid to `daemon'.
--WARN-- [perm001w] The owner of /usr/bin/at should be root (owned by daemon).
--WARN-- [perm002w] The group owner of /usr/bin/at should be root.
--ALERT-- [perm023a] /usr/bin/passwd is setuid to `root'.
--ALERT-- [perm024a] /usr/bin/wall is setgid to `tty'.

# Checking for known intrusion signs...
# Testing for promiscuous interfaces with /bin/ip
# Testing for backdoors in inetd.conf

# Performing check of files in system mail spool...

# Performing check for rookits...
# Running chkrootkit (/usr/sbin/chkrootkit) to perform further checks...

# Performing system specific checks...
# Performing checks for Linux/3...

# Checking for single user-mode password...

# Checking boot loader file permissions...
--WARN-- [boot03w] Could not access LILO's or Grub's configuration file

# Checking for vulnerabilities in inittab configuration...

# Checking for correct umask settings for init scripts...
--WARN-- [misc021w] There are no umask entries in /etc/init.d/rcS

# Checking Logins not used on the system ...

# Checking network configuration
--WARN-- [lin012w] The system accepts ICMP redirection messages
--FAIL-- [lin016f] The system permits source routing from incoming packets
--WARN-- [lin017w] The system is not configured to log suspicious (martian)
packets
--FAIL-- [lin019f] The system does not have any local firewall rules
configured

# Verifying system specific password checks...

# Checking OS release...
--WARN-- [osv004w] Unreleased Debian GNU/Linux version `wheezy/sid'

# Checking installed packages vs Debian Security Advisories...

# Checking md5sums of installed files
--FAIL-- [lin005f] Installed file `/sbin/start-stop-daemon' checksum differs
from installed package 'dpkg'.
--FAIL-- [lin005f] Installed file `/var/lib/nvidia-common/last_gfx_boot'
checksum differs from installed package 'nvidia-common'.
--FAIL-- [lin005f] Installed file `/sbin/initctl' checksum differs from
installed package 'upstart'.


und noch einige tausend Warnungen weiter... [..]



--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_flat_review.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_bookmarks.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_structural_navigation.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_mouse_review.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_orca_find.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_speech.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_reading.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access /usr/share/gnome/help/orca/el/commands.page
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_chat.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_introduction.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_mouse.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/introduction.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences.page is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_general.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_find.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_key_bindings.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_learn_modes.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_braille.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_table.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_notifications.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_setting_up_orca.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_where_am_i.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_controlling_orca.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_braille_indicators.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/profiles_save_as.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_tts_options.png is
a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_enable_braille_support.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_table_rows.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_pronunciation.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_braille_contracted.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_disable_eol_symbol.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_gecko_find_options.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_only_speak_displayed_text.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_speak_multicase_strings_as_words.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_enable_braille_monitor.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_system_voice_options.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_key_echo.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_quit_Orca_without_confirmation.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_profiles.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_character_echo.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_break_speech_into_chunks.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/main_window.png is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_speech_verbosity.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_keyboard_layout.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/profiles_load.png is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/orca_find.png is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_text_attributes_table.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_speak_object_under_mouse.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_enable_speech.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_key_bindings_table.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_rate_pitch_volume.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_gecko_page_navigation.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_abbreviated_role_names.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_present_tooltips.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_table_navigation.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_text_attributes_rearranging.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_date_and_time.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_Orca_modifier_keys.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_word_and_sentence_echo.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_show_Orca_main_window.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_braille_verbosity.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_chat.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/profiles_conflict.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_progress_bar_updates.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_punctuation_level.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_say_all_by.png is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/figures/preferences_text_attributes_braille.png
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_documents.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_braille.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_key_echo.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_keyboard_layout.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_forms.page is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_bookmarks.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_debugging.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_text_attributes.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_live_regions.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_text_attributes.page is a
dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_time_date_notifications.page
is a dangling symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/preferences_gecko.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_whereami.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/howto_tables.page is a dangling
symlink.
--WARN-- [fsys013w] cannot access
/usr/share/gnome/help/orca/el/commands_structural_navigation.page is
a dangling symlink.
--WARN-- [fsys013w] cannot access /usr/lib/ispell/default.hash is a dangling
symlink.
--WARN-- [fsys013w] cannot access /usr/lib/ispell/default.aff is a dangling
symlink.
--WARN-- [fsys013w] cannot access /usr/lib/tiger/systems/Linux/issue.net is a
dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/52 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/51 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/50 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/49 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/48 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/47 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/46 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/45 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/29 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/44 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/43 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/42 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/41 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/40 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/39 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/38 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/37 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/36 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/35 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/34 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/33 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/32 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/31 is a dangling symlink.
--WARN-- [fsys013w] cannot access /run/udev/watch/30 is a dangling symlink.

# Checking unusual file names...
--ALERT-- [fsys005a] Unusual filename `._01 Tell Me Something.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._01 Tell Me Something.mp3
--ALERT-- [fsys005a] Unusual filename `._02 Lucky Girl.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._02 Lucky Girl.mp3
--ALERT-- [fsys005a] Unusual filename `._03 Memphis Sun.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._03 Memphis Sun.mp3
--ALERT-- [fsys005a] Unusual filename `._04 Angel.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._04 Angel.mp3
--ALERT-- [fsys005a] Unusual filename `._05 Pocketful Of Stones.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._05 Pocketful Of Stones.mp3
--ALERT-- [fsys005a] Unusual filename `._06 The Man Who Wasn't There.mp3'
found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._06 The Man Who Wasn't There.mp3
--ALERT-- [fsys005a] Unusual filename `._07 Pleasant Return.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._07 Pleasant Return.mp3
--ALERT-- [fsys005a] Unusual filename `._08 On My Way.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._08 On My Way.mp3
--ALERT-- [fsys005a] Unusual filename `._09 I Want More.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._09 I Want More.mp3
--ALERT-- [fsys005a] Unusual filename `._10 Flames Of Lanka.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._10 Flames Of Lanka.mp3
--ALERT-- [fsys005a] Unusual filename `._11 Nanda-Nandana.mp3' found:
-rw-r--r-- 1 magict magict 70 Aug 5 2010 /home/magict/desk/3/Rock_Blues/._11 Nanda-Nandana.mp3


# Looking for unusual device files...
--ALERT-- [fsys006a] Unexpected device files found:
lrwxrwxrwx 1 magict magict 8 Apr 10 14:34 /home/magict/.wine/dosdevices/d:: -> /dev/sr0
lrwxrwxrwx 1 magict magict 8 Apr 10 14:34 /home/magict/.wine/dosdevices/e:: -> /dev/sr1
lrwxrwxrwx 1 root root 8 Apr 10 14:55 /root/.wine/dosdevices/d:: -> /dev/sr0
lrwxrwxrwx 1 root root 8 Apr 10 14:55 /root/.wine/dosdevices/e:: -> /dev/sr1
crw-rw-rw- 1 root root 1, 9 Apr 12 15:00 /var/spool/postfix/dev/urandom


# Checking symbolic links...

# Performing check of embedded pathnames...
20:45> Security report completed for magict.

Pinguin
12.04.14, 21:34
Wenn jemand Interesse am kompletten Log hat, soll er das schreiben, dann lade ich es hoch.

Pinguin
12.04.14, 22:35
Ich habe jetzt nochmal clamav durchlaufenlassen ('command: clamand -r /').

Ergebnis:

----------- SCAN SUMMARY -----------
Known viruses: 3302147
Engine version: 0.98.1
Scanned directories: 42323
Scanned files: 197855
Infected files: 4
Total errors: 17070
Data scanned: 8911.36 MB
Data read: 44264.17 MB (ratio 0.20:1)
Time: 2252.826 sec (37 m 32 s)


ich finde bei 17070 Fehlermeldungen kann man schon mal mißtrauisch werden! Wie würdet Ihr jetzt vorgehen?

DrunkenFreak
13.04.14, 09:18
Clamav scannt nur Viren für Windows. Daher ist es nutzlos für eine Suche nach einem Rootkit. Wenn du aber wirklich die Vermutung hast, dass ein Rootkit auf dem Rechner ist, dann installier neu.

Rkhunter und Konsorten bringen nur was, wenn sie von Anfang an installiert waren. Rootkits versuchen sich natürlich zu verstecken und verwischen alle Spuren.

tictactux
13.04.14, 11:25
ich finde bei 17070 Fehlermeldungen kann man schon mal mißtrauisch werden! Wie würdet Ihr jetzt vorgehen?
Hast Du clamav als normaler user ausgeführt?
Dann wären die 17k Fehler normal (z.b. wegen Mangel an Berechtigung zum Öffnen von Systemdateien/Verzeichnissen).

Bei den zitierten Ausschnitten aus dem rkhunter.log ist auch alles normal was da an ALERTS wegen Berechtigungen ausgegeben wird- das sind für Debian Standardberechtigungen (also für die Dateien aus /bin, /usr/sbin, /usxr/bin).


Wegen der erwähnten user-logins als root: kannst du Beispiele aus log-Dateien liefern? Sowas kann aus cron- oder at-Scripten ausgelöst werden, oder von Applets wie NetworkManager/cups u.s.w. wenn z.b. bei installiertem sudo (oder seinesgleichen) dessen Konfiguration z.b. verändert wurde bezüglich Deines users.

Leider sehe ich derzeit nichts in den Aussagen dem man konkret nachgehen könnte.

Zu der Aussage von DrunkenFreak (der ich auch zustimme) würd ich noch ergänzen: gerade bei rootkit-Vermutung wäre ein lauf von rkhunter von einem gebooteten Live-Medium sinnvoller als aus dem untersuchten System- (zumindest um versteckte Systemdateien aufzuspüren, auch wenn keine Prozesse aktiv sind).

stefan.becker
13.04.14, 13:05
Und evtl. vorne anfangen? Einfach mal den Router back to factory settings?

tictactux
13.04.14, 14:48
Und evtl. vorne anfangen? Einfach mal den Router back to factory settings?

auf jeden Fall, siehe Titelthema der aktuellen c't , auch wenn das Thema schon seit Monaten breitgetreten wird:)

Pinguin
14.04.14, 12:48
Also ich habe clamav mit Root-Rechten ausgeführt. Samba könnte tatsächlich für den Traffic verantwortlich gewesen sein. Ich habe den Router zurückgesetzt, Samba, SSH und diverse andere Dienste, die ich nicht brauche deaktiviert und das BIOS neu aufgelegt. Danach Neuinstallation.

Ich werde mit dem Notebook genau so verfahren und mal hoffen, dass ich, wenn alle Dienste geschlossen sind in einem halbwegs gesicherten System arbeite.

Wie ist das eigentlich mit Diensten wie SSH und Samba, stellen diese nicht ein Sicherheitsrisiko dar?

tictactux
15.04.14, 15:25
Wie ist das eigentlich mit Diensten wie SSH und Samba, stellen diese nicht ein Sicherheitsrisiko dar?

Sicher. Aber es gilt immer: was man nicht braucht schaltet man aus, und SSH nie root-Zugriff erlauben (ssh und samba sind auch regelmäßig Kandidaten für Sicherheitsupdates der Distributionen).