Seite 1 von 2
#1 Tracer hackt mich ;-))
Verfasst: 16.02.2007 20:24:17
von dschim
Hallo miteinander,
was hat diese Meldung meiner FW zu bedeuten?
2007/02/11 23:24:28 85.10.206.16:80 (
www.rchelifan.org) 192.168.1.41:1137 Anschluss 1137 (TCP)
"Ein Computer unter der
www.rchelifan.org hat versucht, eine unaufgeforderte Verbindung mit TCP Anschluss 1137 auf Ihrem Computer herzustellen."
Ich sitze hinter einem Zyxel-Router und habe NAT und SUA aktiviert.
Hab Tracer schon gefragt, er konnte sich auch keinen Reim drauf machen.
Und bitte ich möchte jetzt keine Basisdiskussion über Firewalls anzetteln.
#2
Verfasst: 16.02.2007 20:29:26
von tracer
Und bitte ich möchte jetzt keine Basisdiskussion über Firewalls anzetteln.
Dem schliesse ich mich an.
Einfach nur, was und warum das so ist.
#3
Verfasst: 16.02.2007 21:04:42
von Rudi821
Hab mal gegoogelt:
http://www.emsisoft.de/de/kb/portlist/
Demnach wird der Port von einem Trojaner benutz!?
Aber das erklärt nicht warum seine Firewall behauptet das diese anfrage vom RHF-Server kommt!!!
Hier noch eine info von McAffee.
#4
Verfasst: 16.02.2007 21:21:39
von tracer
Aber das erklärt nicht warum seine Firewall behauptet das diese anfrage vom RHF-Server kommt!!!
Das ist genau das, was ich auch nicht verstehe
#5
Verfasst: 16.02.2007 21:24:37
von Friso
Wenn Tracers Server natürlich immer damit beschäftigt ist das ganze Internet zu sabotieren erklärt das unsere Performanceprobleme
Grüsse,
PS: habe zu wehnig Ahnung um euch bei dem Problem zu helfen
#6
Verfasst: 16.02.2007 21:29:46
von thrillhouse
@tracer
was sagt denn dein log ?
#7
Verfasst: 16.02.2007 21:30:45
von tracer
was sagt denn dein log ?
Mein Cron meldet mir täglich, dass ich kein rootkit draufhabe.
#8
Verfasst: 16.02.2007 21:31:48
von dschim
hmmmm,
hab jetzt mal noch einmal meinen Rechner gecheckt. Bei mir ist der MTX-Trojaner nicht auffindbar, auch die genannten Prozesse laufen bei mir nicht, noch sind die erwähnten Dateien nicht auf meinem Rechner.
Die Trojanermeldung ist von 2000?!??!??!
#9
Verfasst: 16.02.2007 21:35:51
von Rudi821
Ich weiss aber wegen dem port bin ich darauf gestoßen.
Hätte ja eventuell seien können
#10
Verfasst: 16.02.2007 21:42:09
von HarryMuc
So wie es in dem Log steht, kommt die Anfrage vom RHF Server von Port 80 (www): 85.10.206.16:80
Die Anfrage kommt also wohl vom apache.
tracer koennte auf seinem Server mal probieren:
lsof -P | grep IP | grep :1137
Dann sollte man sehen, ob da mehrere Verbindungen zu Port 1137 offen sind.
Die Frage ist halt dann, warum der Apache auf Port 1137 was abfragen will.
#11 Re: Tracer hackt mich ;-))
Verfasst: 17.02.2007 10:05:45
von TommyB
dschim hat geschrieben:Hallo miteinander,
was hat diese Meldung meiner FW zu bedeuten?
Vermutlich das sie nix taugt?
*SCNR*
#12
Verfasst: 17.02.2007 10:07:48
von tracer
Wir haben das gestern noch ein wenig getestet (danke, Harry).
Kann es sein, dass das der Backport ist, wenn Du per Java Chat in den IRC kommst?
#13
Verfasst: 18.02.2007 06:38:44
von Knut Stritzl
@Wolfgang
hattest Du Meldung nur einmal?
Kannst Du das reproduzieren?
@tracer
hast Du dass mal mit gesnifft?
#14
Verfasst: 18.02.2007 08:31:21
von HarryMuc
Hallo,
die Anfrage kommt vom Chat, immer beim Connect.
Ich habe auch einen IRC Server laufen, mit JAVA/HTML Oberflaeche, da ist es genauso.
Was auch immer der IRC Server abpruefen will, der macht ja beim Connect einige Sachen. Ident, Open Socks, etc. checken.
Harry
#15
Verfasst: 19.02.2007 21:32:35
von dschim
Danke für die Analyseversuche.
Ich chate eigentlich gar nicht.
Ist's vielleicht die shoutbox?
Bin jetzt nicht an meinem Homerechner sondern mit NB unterwegs.
Werde morgen mal wieder nachschauen. Die Meldung kommt schon des öfteren vor. Euerem Hinweis auf ident ,.... werde ich mal nachgehen
und verscuhen eine zeitliche Korrelation herzustellen.