NETSTAT 2 Verbindungen

[michaello]

Wer kann mir sagen ob hier 2 aktive Verbindungen zustande gekommen sind?

Port domain.de:ssh bin ich.

der Port 21 als BACKUP.ROOTMASTER steht auf TIME-WAIT, also ist noch nicht verbunden oder versucht es zumindest Verbindung herzustellen.

Ich kann mich nicht erinnern, dass ich einen BACKUP.ROOTMASTER genutzt habe. Und was ist das für ein Port iad2 ?

pXXXXXXXX:/usr/src # netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 domain.de:iad2 backup.rootmaster.in:21 TIME_WAIT
tcp 0 0 domain.de:1029 backup.rootmaster.in:21 TIME_WAIT
tcp 0 0 domain.de:ssh p50627823.dip.t-di:4858 ESTABLISHED
tcp 0 0 domain.de:ssh p50627823.dip.t-di:4857 ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 10 [ ] DGRAM 1075 /dev/log
unix 2 [ ] DGRAM 19032
unix 2 [ ] DGRAM 19016
unix 3 [ ] STREAM CONNECTED 19015
unix 3 [ ] STREAM CONNECTED 19014
unix 3 [ ] STREAM CONNECTED 19013
unix 3 [ ] STREAM CONNECTED 19012
unix 3 [ ] STREAM CONNECTED 19011
unix 3 [ ] STREAM CONNECTED 19010
unix 3 [ ] STREAM CONNECTED 19009
unix 3 [ ] STREAM CONNECTED 19008
unix 3 [ ] STREAM CONNECTED 19007
unix 3 [ ] STREAM CONNECTED 19006
unix 3 [ ] STREAM CONNECTED 19005
unix 3 [ ] STREAM CONNECTED 19004
unix 3 [ ] STREAM CONNECTED 19003
unix 3 [ ] STREAM CONNECTED 19002
unix 3 [ ] STREAM CONNECTED 19001
unix 3 [ ] STREAM CONNECTED 19000
unix 3 [ ] STREAM CONNECTED 18999
unix 3 [ ] STREAM CONNECTED 18998
unix 3 [ ] STREAM CONNECTED 18997
unix 3 [ ] STREAM CONNECTED 18996
unix 3 [ ] STREAM CONNECTED 18995
unix 3 [ ] STREAM CONNECTED 18994
unix 3 [ ] STREAM CONNECTED 18993
unix 3 [ ] STREAM CONNECTED 18992
unix 3 [ ] STREAM CONNECTED 18991
unix 3 [ ] STREAM CONNECTED 18990
unix 3 [ ] STREAM CONNECTED 18989
unix 3 [ ] STREAM CONNECTED 18988
unix 3 [ ] STREAM CONNECTED 18987
unix 3 [ ] STREAM CONNECTED 18986
unix 3 [ ] STREAM CONNECTED 18985
unix 3 [ ] STREAM CONNECTED 18984
unix 3 [ ] STREAM CONNECTED 18983
unix 3 [ ] STREAM CONNECTED 18982
unix 3 [ ] STREAM CONNECTED 18981
unix 3 [ ] STREAM CONNECTED 18980
unix 3 [ ] STREAM CONNECTED 18979
unix 3 [ ] STREAM CONNECTED 18978
unix 3 [ ] STREAM CONNECTED 18977
unix 3 [ ] STREAM CONNECTED 18976
unix 3 [ ] STREAM CONNECTED 18975
unix 3 [ ] STREAM CONNECTED 18974
unix 3 [ ] STREAM CONNECTED 14430
unix 3 [ ] STREAM CONNECTED 14429
unix 3 [ ] STREAM CONNECTED 14428
unix 3 [ ] STREAM CONNECTED 14427
unix 2 [ ] DGRAM 7304
unix 2 [ ] DGRAM 6064
unix 2 [ ] DGRAM 4746
unix 2 [ ] DGRAM 4242
unix 2 [ ] DGRAM 4222
unix 2 [ ] DGRAM 1808

8)

Habe den Server erstmal in Rescue versetzt

[/dev/null]

Kann es sein das du noch ne FTP-Verbindung zu deinem Server offen hast / hattest!? :twisted:

[michaello]

nein hatte keine FTP Verbindung über 22!

Ich habe jetzt Wochen lang alles konfiguriert wie IPTABLES, Software wie Vnstat+Cron, IPTRAF,Portsentry für Sicherheit des Servers und jetzt sowas.

Alles nach der reinitialisierung neu machen?

[michaello]

sorry ich meine FTP über 21 ich hatet keine

[/dev/null]

Ich kann mir nur vorstellen, das da ein Programm automatisch Backups macht... Backup.rootmaster.info hört sich so nach 1und1 an...

IST auch Schlund... :)
Domain Name:ROOTMASTER.INFO
Created On:25-Jul-2002 15:30:37 UTC
Last Updated On:06-May-2003 08:25:14 UTC
Expiration Date:25-Jul-2004 15:30:37 UTC
Sponsoring Registrar:R113-LRMS
Status:ACTIVE
Status:OK
Registrant ID:C5261-LRMS
Registrant Name:Eric Schaetzlein
Registrant Organization:Schlund+Partner AG
Registrant Street1:Brauerstr. 48
Registrant City:Karlsruhe
Registrant Postal Code:76135
Registrant Country:DE
Registrant Phone:+49.721913740
Registrant FAX:+49.7219137420
Registrant Email:hostmaster@schlund.de

Glaube nicht das du ein Loch in der Sicherheit hast...

[michaello]

aber was hat 1&1 da zu suchen?

Ich habe die nicht beauftragt irgendwelche Conne´ctings zu meinem Server zu veranlassen.

Was soll das?

[michaello]

ausserdem habe ich einen Auszug aus meinem CHROOTKIT, habe den Server nämlich wider normal rebootet:

Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465) << Fehlalarm
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'...
eth0: PROMISC <<<<<<<<<<<<<<<<<< ???????????
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

könnte da was faul oder die 1&1 versucht mich zu vera........?

[captaincrunch]

eth0: PROMISC <<<<<<<<<<<<<<<<<< ???????????

Deine Netzwerkkarte befindet sich im Promiscious Mode. Muss nicht viel heißen, kommt halt darauf an, welche Software du auf dem Rootie betreibst.

[/dev/null]

Ich hab keine ahnung wie diese Verbindung bei dir zu stande kommt oder was da über diese Verbindung gemacht wird, denke aber dass Schlund anderes zu tun hat als sein Kunden in irgend einer weise mit Hacker-Tools oder ähnlichem zu "versorgen" ;)

[outofbound]

Backup- Space von 1 und 1 gemountet?

[michaello]

nicht das ich wüsste, also nochmal NEIN

N E I N , ich bhabe kein Bakup gemountet und heute kam die zweite Ã?berraschung:

pXXXXXXX:~ # netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 domain.de:ssh dialin-134-254:llm-pass ESTABLISHED
tcp 0 0 domain.de:ssh dialin-136-254-118:1120 ESTABLISHED
udp 0 0 domain.de:pcg-radar strohhalm53.schl:domain ESTABLISHED <<<<<<<< ?????????
udp 0 0 domain.de:1037 dns.schlund.de:domain ESTABLISHED <<<<<<<<<< ?????????


Na sowas.

Ich hab da erstmal angerufen und Herr Heckmann sagte mir , dass es irgendwelche Ã?berprüfungsroutinen sind.

Dann habe ich sofort eine e-mail und einem 2-DIN-A-4 Fax an 1&1 geschickt, um eine Erklärung zu erlangen

Strohhalm - Radar, bald vielleicht Coctail mit Sahne ::::: 8O ???????

[outofbound]

wie lange hast du den Server?

Vielleicht noch altlasten von dem vorbesitzer der IP?

siehts schon schwer nach backups und auch nach dns aus... vielleicht
hat da noch einer irgendwas auf deine IP umgebogen?

*rat*

Was für traffic geht denn da über die Leitung, das dürfte mehr
aufschluss geben.

Wie lange stehen denn die Verbindungen? Was passiert da?

Und bitte keine Namen von Fremden Personen, danke.

Bitte google auch mal nach einer Erklärung, wie man den Output liest, denn
pcg-radar übersetzt sich einfach nach port 1036 (Wenn iochs grad richtig im Kopf hab)
(iad dürfte auch sowas in der nähe sein)

paaah... und nochmal edit: Forum suche nach strohhalm...

Gruss,

Out

[/dev/null]

Und wenn dir die verbindung wirklich nicht recht ist dann sperr doch den gegenserver einfach via iptables für diesen Port! *g*

[michaello]

Hi.

vNstat der letzten Tage:

day rx | tx | total
------------------------+-------------+--------------
Oct 8 0 MB | 0 MB | 0 MB
Oct 7 119 MB | 6 MB | 125 MB
Oct 6 14 MB | 1 MB | 15 MB
Oct 5 1 MB | 2 MB | 3 MB
Oct 4 1 MB | 3 MB | 4 MB
Oct 3 11 MB | 14 MB | 25 MB
Oct 2 3 MB | 44 MB | 47 MB
Oct 1 2 MB | 14 MB | 16 MB
Sep 30 6 MB | 27 MB | 33 MB
Sep 29 1 MB | 8 MB | 9 MB
------------------------+-------------+--------------

ist nicht viel, da ich den Server gerade erst einrichte.

Zum Glück hab ich Traffic-Limit per Fax eingerichtet, damit ich keine 1000-5000 EUR Rechnung bekomme. (-:

werde den reinitialisieren, nachdem eine wichtige Domain umgezogen ist. Der Server wird dann erstmal nach der Reinitialisierung mit Security-Apps neu abgesichert. Muss alles wider neu machen :x 8O :? :roll:

Später soll er erstmal nur für JAVA-Apps und Open-Source-CMS-Apps genutzt werden, für Tests.

Bei sensiblen Kundendaten hab ich da erstmal mulmiges Gefühl.

Bye... und danke für Tips...

[gamecrash]

Also die Strohhalme sind wenn ich mich nicht irre die DHCP-Server von 1&1, die sollte man nicht blocken ;)

[lufthansen]

ööhhmm das steht doch da ganz klar .. :)

udp 0 0 domain.de:pcg-radar strohhalm53.schl:domain ESTABLISHED


:domain = port 53 = dns server ...
und wie vorhin gesagt wurde sind das auch dhcpd 's .....
is also nix schlimmes ...