Hallo Liste, von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen TCP/IP Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache 1.3.26 (SuSE gepatchet). Hier ein firewall Eintrag als Beispiel:
Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2 SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378 DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0 ID,DPT und DST sind variabel. Alles andere konstant. Die Packete kommen so ca. alle 10 Minuten, dann immer 6 im Abstand von einigen Sekunden. Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam ein einzelnes Packet: Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2 SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63 ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0 Chkrootkit zeigt nichts an. Es laufen auf dem Rechner keine 'ordentlichen' Programme, die von sich aus Kontakt nach drau�en aufnehmen. Hab jemand eine andere Erkl�rung als '�bernommen worden'? Sonst werde ich das System neu aufsetzen m�ssen. Diesmal Debian SID. Danke, Tim
