Stephan Hakuli wrote:

Hallo zusammen,

nach meinen Trojanerproblemchen logge ich nun jeden Sch... mit. Folgendes hat meine Aufmerksamkeit erregt:

Packet log: input - eth1 PROTO=1 62.180.189.245:10 224.0.0.2:0 L=28 S=0x00 I=133312 F=0x0000 T=128 (#7)

Der Input kam von einem der Clients, aber die Absenderadresse ist merkwürdig, der Client hat 192.168.1.101 und nicht 62.180.189.245.

IIRC benutzt WIN* diverse Adressen, um bestimmte Dienste (Video, Streaming etc.) damit zu bedienen. Versuche mal ein ipconfig /all (NT) bzw winipcfg (WIN9x) um die Konfiguration anzusehen.

nslookup sagt, die IP des Ziels 224.0.0.2 würde zu ALL-ROUTERS.MCAST.NET gehören. Kann jemand damit was anfangen?

Ja, 224.x.y.z gehört zu den Multicast-Netzen (steht ja auch da: ALL-ROUTERS.MCAST.NET an alle Router im Multicast-Netz).

<PARANOIA> Hat der Client ein Programm laufen, das regelmäßig ICMP's rauszuschicken versucht und so jemandem mitteilt, wann ich online bin? </PARANOIA>

IMHO nicht - normales WIN*_Verhalten. Gruß hebi -- Dirk Hebenstreit Tel.: 0170 2461522 Eschenweg 3 033200 85997 14558 Bergholz-Rehbrücke Dirk.Hebenstreit@epost.de LINUX-User helfen Schulen http://www.pingos.schulnetz.org --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com