Bernd Nachtigall schrieb:
Falls TCP: Was sagt ein
telnet <luxemburger IP> 13122
vm53200-12:~ # telnet 94.242.251.57 13122 Trying 94.242.251.57... Connected to 94.242.251.57. Escape character is '^]'.
:luxgate.toutnet.de NOTICE AUTH :*** Looking up your hostname... :luxgate.toutnet.de NOTICE AUTH :*** Found your hostname
Das ist ein IRC Server. Was auch die ping/pong Pakete erklärt.
Bingo :-( You're busted ...
IRC Server sind ja gerne die C&C-Server diverser MalWare.
Siehe hier: http://www.urlvoid.com/scan/luxgate.toutnet.de/
und hier: http://www.scumware.org/search.scumware
Letzteres erklärt mir das dort evtl. zwei (ältere) Malwares schlummern:
2012-07-11 06:30:19 http://luxgate.toutnet.de/avkill.bat C0F3323634D45D0288D17226B03D07E5 94.242.251.57 LU BAT/KillAV.NBG trojan
2012-04-26 05:34:10 http://luxgate.toutnet.de/isr.exe C13F72481A1C046DE65BC4360DD470ED 94.242.251.57 LU Worm.Win32.VBNA.b
Was ich nicht sehe ist, ob der Rechner infiziert ist. Oder ob das nur für Windosen ansteckend ist. ... Aber irgendwie muß ja diese cataline-Datei auf das System gekommen sein ... :-\ Du machst keine regelmäßigen Updates, oder?
Alle Systeme die von außen erreichbar sind, werden 2x/Woche automatich gepatcht.
Wenn das meine Maschine wäre, würde ich Sie von einem ReadOnly-Medium starten und alles an Scannern drüberlaufen lassen was geht. Es hilft hier z.B. die VirenScan CD der c't. (Oder gleich neu installieren wenn der Aufwand vertretbar ist. Linux ist ja schnell drauf und wenn die nötigen Anpassungen gut dokumentiert sind ...)
Wenn ich den einfach nur neu aufsetze ohne zu wissen wie der reingekommen ist werde ich sicher bald wieder Besuch haben. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org