jep, habe auf einem zweitem Ubuntu-Rechner das gleiche probiert und ebenfalls einen
hohen offenen Port gefunden. ein netstat -s zeigt folgendes:
Ip:
276261 total packets received
0 forwarded
0 incoming packets discarded
276251 incoming packets delivered
299083 requests sent out
Icmp:
73726 ICMP messages received
73719 input ICMP message failed.
ICMP Eingabehistogramm:
destination unreachable: 73719
echo requests: 2
echo replies: 5
67629 ICMP messages sent
0 ICMP messages failed
ICMP Ausgabehistogramm:
destination unreachable: 67627
echo replies: 2
Tcp:
205 active connections openings
0 passive connection openings
0 failed connection attempts
0 connection resets received
0 connections established
136716 segments received
70784 segments send out
1 segments retransmited
0 bad segments received.
65709 resets sent
Udp:
95 packets received
65608 packets to unknown port received.
0 packet receive errors
202 packets sent
TcpExt:
19 TCP sockets finished time wait in fast timer
130 delayed acks sent
Quick ack mode was activated 8 times
3585 packet headers predicted
481 acknowledgments not containing data received
361 predicted acknowledgments
0 TCP data loss events
1 other TCP timeouts
8 DSACKs sent for old packets
komisch finde ich die "65608 packets to unknown port received" am udp.
...ausserdem jetzt wird xorg als root gestartet und ein ps -A:
PID TTY TIME CMD
1 ? 00:00:01 init
2 ? 00:00:00 ksoftirqd/0
3 ? 00:00:00 events/0
4 ? 00:00:00 khelper
5 ? 00:00:00 kthread
7 ? 00:00:00 kacpid
105 ? 00:00:00 kblockd/0
129 ? 00:00:00 pdflush
130 ? 00:00:00 pdflush
132 ? 00:00:00 aio/0
131 ? 00:00:00 kswapd0
717 ? 00:00:00 kseriod
1929 ? 00:00:00 khubd
3082 ? 00:00:00 kjournald
3260 ? 00:00:00 udevd
4437 ? 00:00:00 khpsbpkt
5636 ? 00:00:00 knodemgrd_0
5727 ? 00:00:00 ipw2100/0
5825 ? 00:00:00 pccardd
6892 ? 00:00:04 ktoshkeyd
6910 ? 00:00:00 acpid
6942 ? 00:00:00 dd
6944 ? 00:00:00 klogd
6957 ? 00:00:00 dbus-daemon
6970 ? 00:00:01 hald
6975 ? 00:00:00 hald-addon-acpi
6983 ? 00:00:00 hald-addon-stor
6995 ? 00:00:00 fnfxd
7063 ? 00:00:00 cardmgr
7161 ? 00:00:00 powernowd
7192 ? 00:00:00 nvtvd
7201 ? 00:00:00 atd
7214 ? 00:00:00 cron
7250 tty1 00:00:00 login
7255 tty2 00:00:00 getty
7256 tty3 00:00:00 getty
7257 tty4 00:00:00 getty
7258 tty5 00:00:00 getty
7259 tty6 00:00:00 getty
7285 tty1 00:00:00 bash
7296 tty1 00:00:00 startx
7312 tty1 00:00:00 xinit
7313 ? 00:00:18 Xorg
7325 tty1 00:00:00 x-session-manag
7357 ? 00:00:00 ssh-agent
7360 tty1 00:00:00 dbus-launch
7361 ? 00:00:00 dbus-daemon
7363 tty1 00:00:01 gconfd-2
7397 ? 00:00:00 dhclient3
7419 tty1 00:00:00 gnome-keyring-d
7421 tty1 00:00:00 esd
7425 ? 00:00:00 bonobo-activati
7427 ? 00:00:00 gnome-settings-
7430 ? 00:00:00 gam_server
7519 ? 00:00:00 xscreensaver
7543 ? 00:00:01 metacity
7600 ? 00:00:00 gnome-volume-ma
7604 ? 00:00:01 gnome-panel
7645 ? 00:00:03 nautilus
7649 ? 00:00:00 xcompmgr
7652 ? 00:00:00 wnck-applet
7654 ? 00:00:00 trashapplet
7658 ? 00:00:00 gnome-vfs-daemo
7669 ? 00:00:00 mapping-daemon
7682 ? 00:00:00 battstat-applet
7684 ? 00:00:00 cpufreq-applet
7686 ? 00:00:00 mixer_applet2
7688 ? 00:00:00 clock-applet
7947 ? 00:00:00 syslogd
7958 ? 00:00:05 gnome-terminal
7959 ? 00:00:00 gnome-pty-helpe
7960 pts/0 00:00:00 bash
7970 pts/0 00:00:00 su
7971 pts/0 00:00:00 bash
25996 ? 00:00:00 scsi_eh_1
25997 ? 00:00:00 usb-storage
26177 ? 00:00:00 hald-addon-stor
26348 pts/0 00:00:00 ps
ne menge, ...starte ich top sehe ich die "?" als root, aber nicht alle, andere sind weiterhin unbekannt.
Der Link sieht super aus, jetzt habe ich reichlich informationen, fuer viel zu wenig zeit! ☹ aber,
...ich will wissen was war und was möglich ist.
Installier dir doch mal chkrootkit...
werde ich mal machen....aber, wenn ich ein chrootkit laufen lasse, merkt es ob es in einer chroot Umgebung
laeuft? hmm, hoert sich komisch an, ...einfach mal dumm gefragt! 😉
apt ist super!