Am Sonntag, 3. März 2013 schrieb Lentes, Bernd:
Rainer schrieb:
Am 03.03.2013 um 13:02 schrieb "Lentes, Bernd"
: ich habe den Tomcat runter gefahren, nach einiger Zeit war
die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ?
Nur damit wir uns richtig verstehen: Die Verbindung ist auch bei runtergefahrenem Tomcat aktiv?
Nein
Ist ein
netstat -tulpen | grep 13122
gesprächig (vermutlich aber nicht)?
tcp 0 0 146.107.xxx.xxx:45063 94.242.251.57:13122 ESTABLISHED 107 407245 19076/java
Anm.: User 107 ist tomcat
Welches Protokoll wird verwendet (TCP oder UDP)?
TCP
Falls TCP: Was sagt ein
telnet <luxemburger IP> 13122
vm53200-12:~ # telnet 94.242.251.57 13122 Trying 94.242.251.57... Connected to 94.242.251.57. Escape character is '^]'.
:luxgate.toutnet.de NOTICE AUTH :*** Looking up your hostname... :luxgate.toutnet.de NOTICE AUTH :*** Found your hostname
Das ist ein IRC Server. Was auch die ping/pong Pakete erklärt.
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671
Bingo :-( You're busted ... IRC Server sind ja gerne die C&C-Server diverser MalWare. Siehe hier: http://www.urlvoid.com/scan/luxgate.toutnet.de/ und hier: http://www.scumware.org/search.scumware Letzteres erklärt mir das dort evtl. zwei (ältere) Malwares schlummern: 2012-07-11 06:30:19 http://luxgate.toutnet.de/avkill.bat C0F3323634D45D0288D17226B03D07E5 94.242.251.57 LU BAT/KillAV.NBG trojan 2012-04-26 05:34:10 http://luxgate.toutnet.de/isr.exe C13F72481A1C046DE65BC4360DD470ED 94.242.251.57 LU Worm.Win32.VBNA.b Was ich nicht sehe ist, ob der Rechner infiziert ist. Oder ob das nur für Windosen ansteckend ist. ... Aber irgendwie muß ja diese cataline-Datei auf das System gekommen sein ... :-\ Du machst keine regelmäßigen Updates, oder? Wenn das meine Maschine wäre, würde ich Sie von einem ReadOnly-Medium starten und alles an Scannern drüberlaufen lassen was geht. Es hilft hier z.B. die VirenScan CD der c't. (Oder gleich neu installieren wenn der Aufwand vertretbar ist. Linux ist ja schnell drauf und wenn die nötigen Anpassungen gut dokumentiert sind ...) Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org