Nieuws:

We zijn er weer.

Na lange tijd van afwezigheid zijn we er weer  :laugh:
We hebben alle wachtwoorden gereset, je oude wachtwoord werkt niet meer.Je moet via het "wachtwoord vergeten"-linkje je wachtwoord resetten. Je krijgt hiervoor een mailtje op het adres dat je bij ons geregistreerd hebt.

De komende tijd zijn we nog druk bezig om de rest van de site op te bouwen, dus het kan zijn dat sommige onderdelen (tijdelijk) niet werken.

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Vreemde verbinding  (gelezen 709 keer)

_san

  • Gast
Vreemde verbinding
« Gepost op: 2009/10/29, 17:00:06 »
Als er geen programma's die internet gebruiken aan staan (zoals Firefox), wordt er nog steeds voor ~3,0 KiB/s ontvangen. Ik heb inmiddels de tcpdump output geanalyseerd, en het blijkt dus dat het IP-adres 67.202.94.94 steeds packets blijft versturen naar de localhost (oftewel deze computer). De packets zien er heel raar uit, en lijken niet op echte HTTP packets, wat je wel zou verwachten van poort 80.



Een paar voorbeelden:
16:49:04.436245 IP (tos 0x0, ttl 48, id 41401, offset 0, flags [DF], proto TCP (6), length 80) 67.202.94.94.80 > 192.168.1.71.55272: F 1449:1477(28) ack 404 win 3432 <nop,nop,timestamp 354840407 1388101>
0x0000:  4500 0050 a1b9 4000 3006 44d7 43ca 5e5e  E..P..@.0.D.C.^^
0x0010:  c0a8 0147 0050 d7e8 56a5 d53d dd5b f4d9  ...G.P..V..=.[..
0x0020:  8011 0d68 58f3 0000 0101 080a 1526 6f57  ...hX........&oW
0x0030:  0015 2e45 c939 a900 4b38 8903 b1b7 1cfd  ...E.9..K8......
0x0040:  0398 d35c 0793 0b00 000d 0a30            ...\.......0
16:52:39.978544 IP (tos 0x0, ttl 48, id 0, offset 0, flags [DF], proto TCP (6), length 60) 67.202.94.94.80 > 192.168.1.71.37946: S, cksum 0x878b (correct), 1656518384:1656518384(0) ack 2831865261 win 5792 <mss 1460,sackOK,timestamp 354894286 1442296,nop,wscale 1>
0x0000:  4500 003c 0000 4000 3006 e6a4 43ca 5e5e  E..<..@.0...C.^^
0x0010:  c0a8 0147 0050 943a 62bc 76f0 a8ca d5ad  ...G.P.:b.v.....
0x0020:  a012 16a0 878b 0000 0204 05b4 0402 080a  ................
0x0030:  1527 41ce 0016 01f8 0103 0301            .'A.........



Het antwoord van mijn computer ziet er als volgt uit:
16:52:39.978574 IP (tos 0x0, ttl 64, id 54357, offset 0, flags [DF], proto TCP (6), length 52) 192.168.1.71.37946 > 67.202.94.94.80: ., cksum 0xcc75 (correct), ack 1 win 92 <nop,nop,timestamp 1442328 354894286>
0x0000:  4500 0034 d455 4000 4006 0257 c0a8 0147  E..4.U@.@..W...G
0x0010:  43ca 5e5e 943a 0050 a8ca d5ad 62bc 76f1  C.^^.:.P....b.v.
0x0020:  8010 005c cc75 0000 0101 080a 0016 0218  ...\.u..........
0x0030:  1527 41ce                                .'A.



Het blijkt dat het IP-adres onder andere de website http://whos.amung.us host. (Zie http://www.dedicatedornot.com/sites/67.202.94.94 voor een complete analyse).

Een paar vragen voor de experts:
1. Waarom maakt deze website contact met mijn computer?
2. Wat zou ik moeten doen: blokkeren via iptables of negeren?

Offline track

  • Lid
  • Steunpunt: Nee
Re: Vreemde verbinding
« Reactie #1 Gepost op: 2009/10/31, 15:18:26 »
Dat gedrag lijkt inderdaad verdacht op een virus ...

Ik zou het eerst willen weten welk proces achter die verbinding schuilt.  Alleen weet ik nog niet
met welke commando je dat kunt analyseren.

track

p.s.: net iets gevonden:  netstat -a  ->  http://linux.die.net/man/8/netstat
« Laatst bewerkt op: 2009/10/31, 15:22:21 door track »