Unbekannte Verbindung

Dieses Thema im Forum "Server Administration" wurde erstellt von redi78, 9. Okt. 2015.

  1. redi78

    redi78 Member

    Hallo Leute,
    mir ist aufgefallen, das ich auf meinem ISPConfig 3 Server eine ständige Verbindung von ein und der selben IP habe:
    52.3k 3% tcp 192.168.x.x:80 <-> 5.206.201.122:64869
    Wenn ich Sie blocke, also eingehend und ausgehend habe ich trotzdem ein SYN_SENT. Anscheinend eine ausgehende Verbindung die eben keine Antwort vom Remoteserver erhält.
    Den Prozess "www" habe ich schon als erste Ursache gefunden. Nun wie kann ich aber nun feststellen woher genau dieser Verbindungsversuch kommt um entgegen zu wirken?

    Danke euch und lg,
    redi78
     

    Anhänge:

    • tcp.PNG
      tcp.PNG
      Dateigröße:
      1,7 KB
      Aufrufe:
      13
  2. robotto7831a

    robotto7831a Member

    Ist das vielleicht dein Provider mySYS Telekom Hostmaster?
     
  3. redi78

    redi78 Member

    Hi Robotto,
    nein, die kiste steht zuhause und mein ISP ist Chello (UPC). Irgendwas telefoniert über den Port 80 raus. Ich weiss nur nicht was.


    lg redi78
     
  4. Till

    Till Administrator

    Hast Du alle websites unter php mode fcgi bzw. php-fpm laufen und ist suexec an?
     
  5. redi78

    redi78 Member

    ja alle suexec an und alle laufen undter fast-cgi.
     
  6. Till

    Till Administrator

    Ok, dann ist es wohl keine gehackte website somdern möglicherweise phpmyadmin oder etwas ähnliches oder aber ein cronjob. Schau mal nach ob etwas in der crontab des users www-data steht:

    crontab -l -u www-data

    und ob es irgendwelche merkwürdigen dateien die www-data gehören in /tmp oder /var/tmp gibt.

    Und untersuch mal den process mit lsof.
     
  7. redi78

    redi78 Member

    Mhh also in der crontab steht nix drinnen. In /tmp oder /var/tmp ist auch nicht.

    5.206.201.122:52290 192.168.3.10:80 SYN_SENT 5s 0 B/s
    5.206.201.122:52233 192.168.3.10:80 SYN_SENT 5s 0 B/s
    5.206.201.122:52183 192.168.3.10:80 SYN_SENT 11s 0 B/s
    5.206.201.122:52058 192.168.3.10:80 SYN_SENT 28s 0 B/s
    5.206.201.122:52223 192.168.3.10:80 SYN_SENT 7s 0 B/s
    5.206.201.122:52267 192.168.3.10:80 SYN_SENT 1s 0 B/s
    5.206.201.122:52147 192.168.3.10:80 SYN_SENT 15s 0 B/s
    5.206.201.122:52249 192.168.3.10:80 SYN_SENT 3s 0 B/s
    5.206.201.122:52175 192.168.3.10:80 SYN_SENT 13s 0 B/s
    5.206.201.122:52340 192.168.3.10:80 SYN_SENT 1s 0 B/s
    5.206.201.122:52258 192.168.3.10:80 SYN_SENT 3s 0 B/s
    5.206.201.122:52157 192.168.3.10:80 SYN_SENT 15s 0 B/s
    5.206.201.122:52055 192.168.3.10:80 SYN_SENT 28s 0 B/s
    5.206.201.122:52316 192.168.3.10:80 SYN_SENT 0s 0 B/s
    5.206.201.122:52031 192.168.3.10:80 SYN_SENT 30s 0 B/s
    5.206.201.122:52259 192.168.3.10:80 SYN_SENT 2s 0 B/s
    5.206.201.122:52074 192.168.3.10:80 SYN_SENT 25s 0 B/s
    5.206.201.122:52335 192.168.3.10:80 SYN_SENT 1s 0 B/s
    5.206.201.122:52092 192.168.3.10:80 SYN_SENT 23s 0 B/s
    5.206.201.122:52224 192.168.3.10:80 SYN_SENT 7s 0 B/s
    5.206.201.122:52139 192.168.3.10:80 SYN_SENT 17s 0 B/s
    212.186.242.214:48109 192.168.3.10:22 ESTABLISHED 0s 3 KB/s
    5.206.201.122:52082 192.168.3.10:80 SYN_SENT 24s 0 B/s
    5.206.201.122:52123 192.168.3.10:80 SYN_SENT 19s 0 B/s
    5.206.201.122:52089 192.168.3.10:80 SYN_SENT 24s 0 B/s
    5.206.201.122:52173 192.168.3.10:80 SYN_SENT 13s 0 B/s
    5.206.201.122:52300 192.168.3.10:80 SYN_SENT 3s 0 B/s
    5.206.201.122:52049 192.168.3.10:80 SYN_SENT 28s 0 B/s
    5.206.201.122:52155 192.168.3.10:80 SYN_SENT 15s 0 B/s
    5.206.201.122:52191 192.168.3.10:80 SYN_SENT 11s 0 B/s
    5.206.201.122:52133 192.168.3.10:80 SYN_SENT 17s 0 B/s
    5.206.201.122:52041 192.168.3.10:80 SYN_SENT 29s 0 B/s
    5.206.201.122:52093 192.168.3.10:80 SYN_SENT 23s 0 B/s
    5.206.201.122:52306 192.168.3.10:80 SYN_SENT 2s 0 B/s
    5.206.201.122:52241 192.168.3.10:80 SYN_SENT 5s 0 B/s
    5.206.201.122:52225 192.168.3.10:80 SYN_SENT 7s 0 B/s
    5.206.201.122:52216 192.168.3.10:80 SYN_SENT 7s 0 B/s
    5.206.201.122:52114 192.168.3.10:80 SYN_SENT 19s 0 B/s
    5.206.201.122:52174 192.168.3.10:80 SYN_SENT 13s 0 B/s
    5.206.201.122:52281 192.168.3.10:80 SYN_SENT 5s 0 B/s


    Irgendwas möchte zu dieser IP 5.206.201.122
    Ich vermute es ist irgend ein script. Wie finde ich heraus welches was diese Verbindungsversuche verursacht?
     
  8. florian030

    florian030 Member

    Hast Du mal ins mail.log gesehen, ob dort die IP steht? Office365 nimmt gerne mal den Port.
     

Diese Seite empfehlen