Ayom -> Webserver macht SYN

Ayom -> Forum -> Webmaster-Ecke -> Server-Technik, Domains & Security

Anzeige - [Hier werben / Mediadaten]

(?) Tags raten (?) (edit)

Webserver macht SYN_SEND

Thema abonnieren | Thema versenden | Thema drucken

grunet

Geschrieben am: Fr 18.11.2005, 17:32

AyomRank 6

Gruppe: Member (aktiv)
Beiträge: 864
Mitglied seit: 5.02.2004

Hallo zusammen

Ich weiss, eigentlich ist ayom.com ein Internet-Marketing Forum. Doch ich bekamm hier imemr top-Antworten und deshalb versuch ich es nun ebenfalls hier.

Ich habe das Problem, dass mein Webserver (linux gentoo) irgendwelchen Virus/Trojaner oder was auch immer eingefangen hat. Jetzt macht mein webserver die ganze Zeit SYN/ACK...

Leider erfahre ich im Internet nur wie man solche blocken kann, jedoch nicht genau wie ich ein infiziertes System reinigen kann.

Hat jemand vieleicht erfahrung mit solchen Problemen?

CODE

netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 43 192.168.1.3:33973 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33930 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33931 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33928 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33933 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33951 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33948 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33936 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33995 67.19.65.196:6667 LAST_ACK
tcp 0 1 192.168.1.3:33999 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:33985 67.19.65.196:6667 SYN_SENT
tcp 0 43 192.168.1.3:33989 67.19.65.196:6667 LAST_ACK
tcp 0 42 192.168.1.3:34002 67.19.65.196:6667 ESTABLISHED
tcp 0 1 192.168.1.3:34003 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:34000 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:34001 67.19.65.196:6667 SYN_SENT
tcp 0 0 192.168.1.3:57095 67.19.65.196:6667 ESTABLISHED
tcp 0 396 192.168.1.3:22 192.168.1.11:2537 ESTABLISHED
tcp 0 42 192.168.1.3:60369 67.19.65.196:6667 ESTABLISHED
tcp 0 42 192.168.1.3:60730 67.19.65.196:6667 ESTABLISHED
tcp 0 42 192.168.1.3:60926 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58572 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58586 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58582 67.19.65.196:6667 ESTABLISHED

Bin um jegliche Hilfe froh.
PS: Ich benutze Linux, was nicht heisst das ich es verstehe

--------------------

FC Zürich Fan Movies and Picutres
Das erste Blog über den FC Zürich. Bilder zu jedem Spiel, Tore und jede Menge Fan Informationen.
FreeBieBlog.ch - Mein Blog... sehe mein Free XBOX 360 Status.
Das Prämienblog. Alles kostenlos. XBOX 360, PSP und Digital Kamera
browsergames.li - Die grösste Sammlung von Browsergames...
Neu: Browsergames-Blog / Das Blog zu den Browsergames

waquner	#2 Geschrieben am: Sa 19.11.2005, 11:54 (+18:22)
AyomRank 4 Gruppe: Member (aktiv) Beiträge: 56 Mitglied seit: 23.09.2005	soweit ich weiss is port 6667 für IRC... hast du irgendetwas irc-mäßiges am server? -------------------- ziviblog.at - Weblog für Zivildienstleistende

grunet	#3 Geschrieben am: Sa 19.11.2005, 13:17 (+01:23)
AyomRank 6 Gruppe: Member (aktiv) Beiträge: 864 Mitglied seit: 5.02.2004	nicht das ich wüsste (benutze ich nicht), wie würde den der services heissen? evt. wurde er mir unerwünscht eingestellt. -------------------- FC Zürich Fan Movies and Picutres Das erste Blog über den FC Zürich. Bilder zu jedem Spiel, Tore und jede Menge Fan Informationen. FreeBieBlog.ch - Mein Blog... sehe mein Free XBOX 360 Status. Das Prämienblog. Alles kostenlos. XBOX 360, PSP und Digital Kamera browsergames.li - Die grösste Sammlung von Browsergames... Neu: Browsergames-Blog / Das Blog zu den Browsergames

waquner

#4 Geschrieben am: Sa 19.11.2005, 14:53 (+01:35)

AyomRank 4

Gruppe: Member (aktiv)
Beiträge: 56
Mitglied seit: 23.09.2005

Schau mal was dir

CODE

fuser -uvn tcp 6667

liefert

lg waquner

--------------------

ziviblog.at - Weblog für Zivildienstleistende

René Weber
rwx-support

#5 Geschrieben am: Sa 19.11.2005, 15:31 (+00:37)

AyomRank 7
Group Icon

Gruppe: Moderatoren
Beiträge: 1169
Mitglied seit: 3.09.2004

Ciao grunet,

Ich habe mal schnell für dich gegoogelt.
Es gibt einige Troyaner die den port 6667 IRC in bestimmten Linux Kernels ausnützen.
Scheint aber eher älter zu sein (so um 2001 und 2002)
Falls du einen alten Kernel hast, solltest du auch mal googeln.

Mein search string war: "linux port 6667"

Hier eine aktuelle Information (ich hoffe du verstehst ein wenig Französisch):

QUOTE

Backdoor.Maxload est un cheval de troie affectant les ordinateurs sous Linux et UNIX, et permet des accès distants non-autorisés sur les machines infectées.

Ce trojan se fait passer pour une application exploitant la vulnérabilité DCOM RPC de Windows. Le cheval de troie a été aperçu sur de nombreux newsgroups et forums sous le nom "New Remote Windows Exploit." le téléchargement contient deux fichiers :
- maxload (An ELF file.)
- maxload.c (The source code of the Trojan.)

Lorsque Backdoor.Maxload est exécuté, il effectue les actions suivantes :
- Il exécute un script perl présent dans le fichier ELF.
- Il tente de se connecter au serveur IRC ir3ip.net, via le port TCP 6667.
- Il tente de joindre un canal prédéterminé est attend les commandes d'un attaquant distant.

Jedenfalls würde ich die Maschine vom Netz nehmen und nach einem Backup eine neueste Version des Kernels installieren.

Mit besten Grüssen
Boubou7

--------------------

Alles ist relativ.
Visayan Silent Gardens Abenteuer Philippinen
La Fouly Ab in die Berge SOLD!!!

grunet

#6 Geschrieben am: So 20.11.2005, 15:00 (+23:29)

AyomRank 6

Gruppe: Member (aktiv)
Beiträge: 864
Mitglied seit: 5.02.2004

QUOTE (waquner @ Sa 19.11.2005, 14:53)

CODE

fuser -uvn tcp 6667

liefert mir überhaupt nichts.

--------------------

Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)

0 Mitglieder:

« Hoster mit Erotikinhalt | Server-Technik, Domains & Security | MySQL Prozess in "top" »

Trackback-Url: http://www.ayom.com/track/t/9184

Dieses Thema abonnieren

Artikel die Sie interessieren könnten: (beta) - Feedback

Wie macht man Grafiken mit PHP?
Wie macht man PDF-Files mit PHP?
Wie betreibt man einen Webserver von zu Hause aus?
Muss man eine Firma gründen, wenn man im Internet Geschäfte macht?
Wie konfiguriert man einen Apache-Webserver?

Ähnliche Themen

Themen Titel	Autor	Views	Antworten	Letzte Aktion
SEO - Pagerank und Co - wie macht man's ric ...	littlefish	171	2	Do 20.11.2008, 01:23
Firefox 3 macht Probleme?	Nico B	136	4	Mi 12.11.2008, 22:28
Weltkonzerne und ihre Macht	miguelrego	706	30	Do 11.09.2008, 09:03
Genügsamkeit oder Habsucht - was macht glücklich?	miguelrego	543	20	Sa 16.08.2008, 20:00
[s] Jemanden der mir eine Flashanimation macht.	Only4yu	122	0	Fr 30.05.2008, 10:06
Was macht ihr wenn der PC streikt ?!	webdoktor	266	18	Do 21.02.2008, 19:11
Hoster mit Managed Webserver gesucht	alex72	628	20	Do 10.01.2008, 01:15
Wie macht Adobe das?	TTlong	832	12	So 6.01.2008, 04:58
Was macht eine gute Domain aus?	Cheers	623	11	Mi 19.12.2007, 15:46

Anzeige - [Hier werben / Mediadaten]

Startseite

Ayom Blog

Forum

Wissensdatenbank

Domainbörse

Supertext

Über Ayom

Partner

Anzeigen