am 24.09.2004, um 12:03:15 +0200 mailte Tim Ruehsen folgendes: > Hallo Liste, > > von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen TCP/IP > Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache 1.3.26 (SuSE > gepatchet). Hier ein firewall Eintrag als Beispiel:
Ah ja. > > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2 > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378 > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0 SYN und ACK : Bestätigung Aufbauwunsch. > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam > ein einzelnes Packet: > > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2 > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63 > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0 Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung beenden wollte? > Chkrootkit zeigt nichts an. Was zeigt 'netstat -tulpen' an? Andreas -- Andreas Kretschmer (Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net === Schollglas Unternehmensgruppe === -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)