Portscan Out (1112, 1593)

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
mfdev
Posts: 2
Joined: 2014-10-02 10:37
 

Portscan Out (1112, 1593)

Post by mfdev »

Hallo,

Einträge in den Log-Files konnte ich keine finden, offene Ports genauso wenig (auf dem System laufen Debian + Webmin). Was kann das sein? ](*,)

Port 1112: icp oder msql
Port 1593: mainsoft-lm (noch nie davon gehört...)

Code: Select all

Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35975
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 45941
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 34787
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 55283
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 46029
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 20707
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35491
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 38079
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 48617
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35315
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 39003
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 19959
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 36349
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 46637
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 37141
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 40851
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 2725 
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 21653
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 25195
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 29089
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: Portscan Out (1112, 1593)

Post by daemotron »

Wenn die ausge-x-te Adresse zu Deinem Rechner gehört, dann sind 1112 und 1593 bloß die Source Ports, von denen aus die Verbindung erfolgt. Da nur TCP-Verbindungen (und keine Raw Sockets wie etwa ICMP) eröffnet wurden und Source Ports > 1024 verwendet wurden, kann das prinzipiell jeder Prozess unter jedem User auf dem System sein. Gescannt wurde da übrigens eine IP, die einer US-amerikanischen Kredit-Bude in North Carolina gehört.

Ach ja, wenn Du den Übeltäter erwischen willst, dann helfen folgende Befehle:

Code: Select all

netstat -tlpen
ss -tlpein
Je nachdem, was auf dem System vorhanden ist (mit Debian kenn ich mich nicht aus). Ggf. in ein Shell-Skript einbetten, das eine Textdatei befüllt und dieses per Cron laufen lassen. Alternativ kannst Du natürlich auch eine iptables-Regel einrichten, die beim Aufbau einer Verbindung auf einem der Dir bereits bekannten Source Ports den Prozess protokolliert - so kriegst Du immerhin raus, welches Binary dahinter steckt, und im Kontext welchen Benutzers es ausgeführt wird.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top
ddm3ve
Moderator
Moderator
Posts: 1237
Joined: 2011-07-04 10:56
 

Re: Portscan Out (1112, 1593)

Post by ddm3ve »

Für Debian würde ich netstat noch um Option u wereitern.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top
User avatar
daemotron
Administrator
Administrator
Posts: 2641
Joined: 2004-01-21 17:44
Contact:
Contact daemotron
 

Re: Portscan Out (1112, 1593)

Post by daemotron »

ddm3ve wrote:Für Debian würde ich netstat noch um Option u wereitern.
Wieso? So wie ich das sehe, wurden nur TCP-Verbindungen aufgebaut, keine UDP-Verbindungen...
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top
mfdev
Posts: 2
Joined: 2014-10-02 10:37
 

Re: Portscan Out (1112, 1593)

Post by mfdev »

daemotron wrote:Wenn die ausge-x-te Adresse zu Deinem Rechner gehört, dann sind 1112 und 1593 bloß die Source Ports, von denen aus die Verbindung erfolgt. Da nur TCP-Verbindungen (und keine Raw Sockets wie etwa ICMP) eröffnet wurden und Source Ports > 1024 verwendet wurden, kann das prinzipiell jeder Prozess unter jedem User auf dem System sein. Gescannt wurde da übrigens eine IP, die einer US-amerikanischen Kredit-Bude in North Carolina gehört.

Ach ja, wenn Du den Übeltäter erwischen willst, dann helfen folgende Befehle:

Code: Select all

netstat -tlpen
ss -tlpein
Je nachdem, was auf dem System vorhanden ist (mit Debian kenn ich mich nicht aus). Ggf. in ein Shell-Skript einbetten, das eine Textdatei befüllt und dieses per Cron laufen lassen. Alternativ kannst Du natürlich auch eine iptables-Regel einrichten, die beim Aufbau einer Verbindung auf einem der Dir bereits bekannten Source Ports den Prozess protokolliert - so kriegst Du immerhin raus, welches Binary dahinter steckt, und im Kontext welchen Benutzers es ausgeführt wird.
Hallo, vielen Dank für die Infos. Schon sehr merkwürdig, kann´s mir bis dato nicht erklären. Hab mal ein Shell-Script erstellt und überprüfe das ganze... hat vielleicht noch jemand Tipps, wie ich nachträglich das Binary / den Übeltäter rauskriege?
Top
Post Reply

Return to “Security”