[HaBo]

AcoQ · 08.07.11, 16:10

Tag zusammen,
ich habe gerade in netstat folgendes entdeckt:

(Deimos ist der localhost).
Nach IANA Liste sind diese ganzen Ports nicht offiziell zugewiesen, nebenbei hat mein eset NOD32 vor kurzem ein paar trojandownloader (alle per java, offenbar eine infizierte seite betrachtet...) herausgefischt.
Nun mache ich mir sorgen, alle Verbindungen sind hergestellt und die remoteadresse "server1:http" ist etwas, naja, seltsam.
Was kann das sein und was kann ich dagegen unternehmen? Und viel wichtiger: Was zur Hölle ist der ominöse Server1 ?

Gruß,
Christian

lookshe · 08.07.11, 16:21

Mal ein nslookup server1 gemacht? Evtl. gibt es in deinem Netzwerk eine Maschine, die sich server1 nennt...?
Achja und diese Ports sind relativ egal, da sie nur angeben, auf welchem Port der server1 dir Antworten schickt. Wichtig ist die Angabe hinter server1 und das ist http.

Anzeige

- Anzeige -

AcoQ · 08.07.11, 16:26

Im Netzwerk hängt aktuell nur "Deimos", mein Notebook (mit dem Hauptrechner Ares und dem 2. Notebook Phobos

).

nslookup server1 brachte dementsprechend nichts, interessant ist jedoch ein weiterer test mit netstat -a:

...bei dem die ganzen verbindungen plötzlich eine remoteIP haben und irgendwie die ports gewechselt haben, sowie einem dritten mal netstat -a:

mit wieder anderen ports.
IP lokalisierung zeigt dass 2 der remotehosts in der Schweiz und 2 in New York City stehen. Was zur...?!

lookshe · 08.07.11, 16:30

Das sind nur ein Haufen offene http-Verbindungen. Hast du evtl. einen Proxy eingerichtet oder bist in einem Wohnheim im Netzwerk oder evtl. Uni?

/Edit:

Hab grad mal was getestet. Solltest evtl. mal deine Youtube-Fenster schliessen

AcoQ · 08.07.11, 16:35

Nope, geschlossenes Heim-WLAN ohne ungebetene Gäste, kein Proxy.
Wireshark zeigt dass eigentlich nur tcp keep-alive kommandos kommen, ich würd nur gerne wissen warum das über so unkonventionelle Ports geht und welches Programm das wohl sein könnte...

lookshe · 08.07.11, 16:37

Zitat:

Zitat von lookshe

/Edit:

Hab grad mal was getestet. Solltest evtl. mal deine Youtube-Fenster schliessen

Du hast Edith übersehen

AcoQ · 08.07.11, 16:44

YouTube wars nicht, aber Chrome schließen hat's dann doch gebracht

Okay, ich sollte daran Arbeiten nicht in Panik zu verfallen wenn HTTP Verbindungen offenstehen

edit: achja! danke

blue182 · 11.07.11, 11:28

Zitat:

Zitat von AcoQ

YouTube wars nicht, aber Chrome schließen hat's dann doch gebracht

Okay, ich sollte daran Arbeiten nicht in Panik zu verfallen wenn HTTP Verbindungen offenstehen

edit: achja! danke

Muhahaha ... aber seelenruhig nutzt er den Chrome-Browser xD

Anzeige

- Anzeige -

08.07.11, 16:10	#1 (permalink)
AcoQ Registriert seit: 01.08.05 Likes: 4	Unbekannte Ports, Verbindungen hergestellt - werde ich abgehört? Anzeige Tag zusammen, ich habe gerade in netstat folgendes entdeckt: (Deimos ist der localhost). Nach IANA Liste sind diese ganzen Ports nicht offiziell zugewiesen, nebenbei hat mein eset NOD32 vor kurzem ein paar trojandownloader (alle per java, offenbar eine infizierte seite betrachtet...) herausgefischt. Nun mache ich mir sorgen, alle Verbindungen sind hergestellt und die remoteadresse "server1:http" ist etwas, naja, seltsam. Was kann das sein und was kann ich dagegen unternehmen? Und viel wichtiger: Was zur Hölle ist der ominöse Server1 ? Gruß, Christian __________________ http://letsfightwhitepride.de

08.07.11, 16:26	#3 (permalink)
AcoQ Themenstarter Registriert seit: 01.08.05 Likes: 4	Im Netzwerk hängt aktuell nur "Deimos", mein Notebook (mit dem Hauptrechner Ares und dem 2. Notebook Phobos ). nslookup server1 brachte dementsprechend nichts, interessant ist jedoch ein weiterer test mit netstat -a: ...bei dem die ganzen verbindungen plötzlich eine remoteIP haben und irgendwie die ports gewechselt haben, sowie einem dritten mal netstat -a: mit wieder anderen ports. IP lokalisierung zeigt dass 2 der remotehosts in der Schweiz und 2 in New York City stehen. Was zur...?! __________________ http://letsfightwhitepride.de

08.07.11, 16:35	#5 (permalink)
AcoQ Themenstarter Registriert seit: 01.08.05 Likes: 4	Nope, geschlossenes Heim-WLAN ohne ungebetene Gäste, kein Proxy. Wireshark zeigt dass eigentlich nur tcp keep-alive kommandos kommen, ich würd nur gerne wissen warum das über so unkonventionelle Ports geht und welches Programm das wohl sein könnte... __________________ http://letsfightwhitepride.de

08.07.11, 16:44	#7 (permalink)
AcoQ Themenstarter Registriert seit: 01.08.05 Likes: 4	YouTube wars nicht, aber Chrome schließen hat's dann doch gebracht Okay, ich sollte daran Arbeiten nicht in Panik zu verfallen wenn HTTP Verbindungen offenstehen edit: achja! danke __________________ http://letsfightwhitepride.de

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

08.07.11, 16:21	#2 (permalink)
lookshe Senior Member Registriert seit: 10.03.07 Likes: 19	Mal ein nslookup server1 gemacht? Evtl. gibt es in deinem Netzwerk eine Maschine, die sich server1 nennt...? Achja und diese Ports sind relativ egal, da sie nur angeben, auf welchem Port der server1 dir Antworten schickt. Wichtig ist die Angabe hinter server1 und das ist http.

08.07.11, 16:30	#4 (permalink)
lookshe Senior Member Registriert seit: 10.03.07 Likes: 19	Das sind nur ein Haufen offene http-Verbindungen. Hast du evtl. einen Proxy eingerichtet oder bist in einem Wohnheim im Netzwerk oder evtl. Uni? /Edit: Hab grad mal was getestet. Solltest evtl. mal deine Youtube-Fenster schliessen

[HaBo]

Unbekannte Ports, Verbindungen hergestellt - werde ich abgehört?