RootForum Community

Posted: **2014-10-02 11:09**

Hallo,

Einträge in den Log-Files konnte ich keine finden, offene Ports genauso wenig (auf dem System laufen Debian + Webmin). Was kann das sein? ](*,)

Port 1112: icp oder msql
Port 1593: mainsoft-lm (noch nie davon gehört...)

Code: Select all

Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35975
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 45941
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 34787
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 55283
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 46029
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 20707
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35491
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 38079
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 48617
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 35315
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 39003
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 19959
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 36349
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 46637
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 37141
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 40851
Thu Oct  2 01:44:09 2014 TCP   X.X.X.X 1593  =>   184.82.49.150 2725 
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 21653
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 25195
Thu Oct  2 01:40:51 2014 TCP   X.X.X.X 1112  =>   184.82.49.150 29089

Posted: **2014-10-03 22:46**

Wenn die ausge-x-te Adresse zu Deinem Rechner gehört, dann sind 1112 und 1593 bloß die Source Ports, von denen aus die Verbindung erfolgt. Da nur TCP-Verbindungen (und keine Raw Sockets wie etwa ICMP) eröffnet wurden und Source Ports > 1024 verwendet wurden, kann das prinzipiell jeder Prozess unter jedem User auf dem System sein. Gescannt wurde da übrigens eine IP, die einer US-amerikanischen Kredit-Bude in North Carolina gehört.

Ach ja, wenn Du den Übeltäter erwischen willst, dann helfen folgende Befehle:

Code: Select all

netstat -tlpen
ss -tlpein

Je nachdem, was auf dem System vorhanden ist (mit Debian kenn ich mich nicht aus). Ggf. in ein Shell-Skript einbetten, das eine Textdatei befüllt und dieses per Cron laufen lassen. Alternativ kannst Du natürlich auch eine iptables-Regel einrichten, die beim Aufbau einer Verbindung auf einem der Dir bereits bekannten Source Ports den Prozess protokolliert - so kriegst Du immerhin raus, welches Binary dahinter steckt, und im Kontext welchen Benutzers es ausgeführt wird.

Posted: **2014-10-04 11:59**

Für Debian würde ich netstat noch um Option u wereitern.

Posted: **2014-10-06 00:40**

ddm3ve wrote:Für Debian würde ich netstat noch um Option u wereitern.

Wieso? So wie ich das sehe, wurden nur TCP-Verbindungen aufgebaut, keine UDP-Verbindungen...

Posted: **2014-10-06 13:39**

daemotron wrote:Wenn die ausge-x-te Adresse zu Deinem Rechner gehört, dann sind 1112 und 1593 bloß die Source Ports, von denen aus die Verbindung erfolgt. Da nur TCP-Verbindungen (und keine Raw Sockets wie etwa ICMP) eröffnet wurden und Source Ports > 1024 verwendet wurden, kann das prinzipiell jeder Prozess unter jedem User auf dem System sein. Gescannt wurde da übrigens eine IP, die einer US-amerikanischen Kredit-Bude in North Carolina gehört.

Ach ja, wenn Du den Übeltäter erwischen willst, dann helfen folgende Befehle:
Code: Select all
netstat -tlpen
ss -tlpein
Je nachdem, was auf dem System vorhanden ist (mit Debian kenn ich mich nicht aus). Ggf. in ein Shell-Skript einbetten, das eine Textdatei befüllt und dieses per Cron laufen lassen. Alternativ kannst Du natürlich auch eine iptables-Regel einrichten, die beim Aufbau einer Verbindung auf einem der Dir bereits bekannten Source Ports den Prozess protokolliert - so kriegst Du immerhin raus, welches Binary dahinter steckt, und im Kontext welchen Benutzers es ausgeführt wird.

Hallo, vielen Dank für die Infos. Schon sehr merkwürdig, kann´s mir bis dato nicht erklären. Hab mal ein Shell-Script erstellt und überprüfe das ganze... hat vielleicht noch jemand Tipps, wie ich nachträglich das Binary / den Übeltäter rauskriege?

RootForum Community

Portscan Out (1112, 1593)

Portscan Out (1112, 1593)

Re: Portscan Out (1112, 1593)

Re: Portscan Out (1112, 1593)

Re: Portscan Out (1112, 1593)

Re: Portscan Out (1112, 1593)