Unbekannte Verbindung

redi78

Member
Hallo Leute,
mir ist aufgefallen, das ich auf meinem ISPConfig 3 Server eine ständige Verbindung von ein und der selben IP habe:
52.3k 3% tcp 192.168.x.x:80 <-> 5.206.201.122:64869
Wenn ich Sie blocke, also eingehend und ausgehend habe ich trotzdem ein SYN_SENT. Anscheinend eine ausgehende Verbindung die eben keine Antwort vom Remoteserver erhält.
Den Prozess "www" habe ich schon als erste Ursache gefunden. Nun wie kann ich aber nun feststellen woher genau dieser Verbindungsversuch kommt um entgegen zu wirken?

Danke euch und lg,
redi78
 

Anhänge

  • tcp.PNG
    tcp.PNG
    1,7 KB · Aufrufe: 241

redi78

Member
Hi Robotto,
nein, die kiste steht zuhause und mein ISP ist Chello (UPC). Irgendwas telefoniert über den Port 80 raus. Ich weiss nur nicht was.


lg redi78
 

Till

Administrator
Ok, dann ist es wohl keine gehackte website somdern möglicherweise phpmyadmin oder etwas ähnliches oder aber ein cronjob. Schau mal nach ob etwas in der crontab des users www-data steht:

crontab -l -u www-data

und ob es irgendwelche merkwürdigen dateien die www-data gehören in /tmp oder /var/tmp gibt.

Und untersuch mal den process mit lsof.
 

redi78

Member
Mhh also in der crontab steht nix drinnen. In /tmp oder /var/tmp ist auch nicht.

5.206.201.122:52290 192.168.3.10:80 SYN_SENT 5s 0 B/s
5.206.201.122:52233 192.168.3.10:80 SYN_SENT 5s 0 B/s
5.206.201.122:52183 192.168.3.10:80 SYN_SENT 11s 0 B/s
5.206.201.122:52058 192.168.3.10:80 SYN_SENT 28s 0 B/s
5.206.201.122:52223 192.168.3.10:80 SYN_SENT 7s 0 B/s
5.206.201.122:52267 192.168.3.10:80 SYN_SENT 1s 0 B/s
5.206.201.122:52147 192.168.3.10:80 SYN_SENT 15s 0 B/s
5.206.201.122:52249 192.168.3.10:80 SYN_SENT 3s 0 B/s
5.206.201.122:52175 192.168.3.10:80 SYN_SENT 13s 0 B/s
5.206.201.122:52340 192.168.3.10:80 SYN_SENT 1s 0 B/s
5.206.201.122:52258 192.168.3.10:80 SYN_SENT 3s 0 B/s
5.206.201.122:52157 192.168.3.10:80 SYN_SENT 15s 0 B/s
5.206.201.122:52055 192.168.3.10:80 SYN_SENT 28s 0 B/s
5.206.201.122:52316 192.168.3.10:80 SYN_SENT 0s 0 B/s
5.206.201.122:52031 192.168.3.10:80 SYN_SENT 30s 0 B/s
5.206.201.122:52259 192.168.3.10:80 SYN_SENT 2s 0 B/s
5.206.201.122:52074 192.168.3.10:80 SYN_SENT 25s 0 B/s
5.206.201.122:52335 192.168.3.10:80 SYN_SENT 1s 0 B/s
5.206.201.122:52092 192.168.3.10:80 SYN_SENT 23s 0 B/s
5.206.201.122:52224 192.168.3.10:80 SYN_SENT 7s 0 B/s
5.206.201.122:52139 192.168.3.10:80 SYN_SENT 17s 0 B/s
212.186.242.214:48109 192.168.3.10:22 ESTABLISHED 0s 3 KB/s
5.206.201.122:52082 192.168.3.10:80 SYN_SENT 24s 0 B/s
5.206.201.122:52123 192.168.3.10:80 SYN_SENT 19s 0 B/s
5.206.201.122:52089 192.168.3.10:80 SYN_SENT 24s 0 B/s
5.206.201.122:52173 192.168.3.10:80 SYN_SENT 13s 0 B/s
5.206.201.122:52300 192.168.3.10:80 SYN_SENT 3s 0 B/s
5.206.201.122:52049 192.168.3.10:80 SYN_SENT 28s 0 B/s
5.206.201.122:52155 192.168.3.10:80 SYN_SENT 15s 0 B/s
5.206.201.122:52191 192.168.3.10:80 SYN_SENT 11s 0 B/s
5.206.201.122:52133 192.168.3.10:80 SYN_SENT 17s 0 B/s
5.206.201.122:52041 192.168.3.10:80 SYN_SENT 29s 0 B/s
5.206.201.122:52093 192.168.3.10:80 SYN_SENT 23s 0 B/s
5.206.201.122:52306 192.168.3.10:80 SYN_SENT 2s 0 B/s
5.206.201.122:52241 192.168.3.10:80 SYN_SENT 5s 0 B/s
5.206.201.122:52225 192.168.3.10:80 SYN_SENT 7s 0 B/s
5.206.201.122:52216 192.168.3.10:80 SYN_SENT 7s 0 B/s
5.206.201.122:52114 192.168.3.10:80 SYN_SENT 19s 0 B/s
5.206.201.122:52174 192.168.3.10:80 SYN_SENT 13s 0 B/s
5.206.201.122:52281 192.168.3.10:80 SYN_SENT 5s 0 B/s


Irgendwas möchte zu dieser IP 5.206.201.122
Ich vermute es ist irgend ein script. Wie finde ich heraus welches was diese Verbindungsversuche verursacht?
 

Werbung

Top