am 24.09.2004, um 12:03:15 +0200 mailte Tim Ruehsen folgendes:
> Hallo Liste,
>
> von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen TCP/IP
> Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache 1.3.26 (SuSE
> gepatchet). Hier ein firewall Eintrag als Beispiel:
Ah ja.
>
> Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=51378
> DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
SYN und ACK : Bestätigung Aufbauwunsch.
> Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben, da kam
> ein einzelnes Packet:
>
> Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung
beenden wollte?
> Chkrootkit zeigt nichts an.
Was zeigt 'netstat -tulpen' an?
Andreas
--
Andreas Kretschmer (Kontakt: siehe Header)
Tel. NL Heynitz: 035242/47212
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
=== Schollglas Unternehmensgruppe ===
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
