Zum Inhalt springen

Archiviert

Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.

CloneCommander

Root-Server macht Portscans?

Empfohlene Beiträge

Hi!

Jetzt sind schon 2 Leute von unsrem Root-Server gescannt worden und mich würde echt mal interessieren was das ist :angry:

Kann mir da einer helfen???

Das Teil ist von Strato eingerichtet, hat Suse 8.1 drauf, außerdem laufen TS, CS1.5, BF und BFV Server...

Was kann das sein?

Soll ich mal die ausgabe von ps -faxu posten????#

Hiiilfeee!!!

CC

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast

Hi!

Sorry, aber das hat mal garnichts mit GameServern zu tun. Schau einfach mal in http://www.linuxforen.de oder ähnlichen Foren. Da sind ein paar Freaks unterwegs die Dir sicher helfen können.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast

Hi!

Also wenn jemand auf Eurem Server zockt werden dessen Ports von Eurem Server gescannt, so meint Ihr das?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi!

Also wenn jemand auf Eurem Server zockt werden dessen Ports von Eurem Server gescannt, so meint Ihr das?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast

Hi!

Dann glaube ich nicht dass das Portscans sind. Wie sollte das auch funktionieren?

Ich denke eher dass das die Kommunikation zwischen Server und Client ist.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hm also Dennis Moore und ein anderer Mamber haben das irgentwie rausgefunden, vielleicht sollten die mal dazu was schrieben.. ;) *sie mal frag*

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also ich kann dazu nur sagen das meine Firewall (Sygate) jetzt halt schon zweimal mir gesagt hat das ich von der xst IP gescannt worden sei. :unsure:

Ich wäre auch gar nicht darauf gekommen, dass das XST sein sollte, aber bei "Name" stand "xst-clan.com".

post-20-1089561479_thumb.jpg

post-20-1089561479_thumb.jpg

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast

Hi!

Hat der root Server die gleiche IP?

Soll ich mal die ausgabe von ps -faxu posten????#
Link zu diesem Kommentar
Auf anderen Seiten teilen

poste mal die Ausgaben von folgenden Befehlen (als root) auf dem Server:

netstat -antpu

chkconfig -l | grep 3:on

und halt den ps ax ..

Link zu diesem Kommentar
Auf anderen Seiten teilen

jo das is die IP vom root, genauso wie xst-clan.com

die Ausgabe von ps-faxu:

USER      PID %CPU %MEM  VSZ  RSS TTY      STAT START  TIME COMMAND

root        1  0.0  0.0  452  76 ?        S    Jun27  0:06 init [3]     

root        2  0.0  0.0    0    0 ?        SW  Jun27  0:00 [keventd]

root        3  0.0  0.0    0    0 ?        SWN  Jun27  0:00 [ksoftirqd_CPU0]

root        4  0.0  0.0    0    0 ?        SW  Jun27  0:03 [kswapd]

root        5  0.0  0.0    0    0 ?        SW  Jun27  0:00 [bdflush]

root        6  0.0  0.0    0    0 ?        SW  Jun27  0:00 [kupdated]

root        10  0.0  0.0    0    0 ?        SW  Jun27  0:00 [khubd]

root        11  0.0  0.0    0    0 ?        SW  Jun27  0:18 [kjournald]

root        96  0.0  0.0    0    0 ?        SW  Jun27  0:00 [kjournald]

root      461  0.0  0.0  1284  424 ?        S    Jun27  0:00 /sbin/dhcpcd -H -D -N -Y -t 999999 -h linux eth0

nobody    483  0.0  0.1  2236  684 ?        S    Jun27  0:00 proftpd: (accepting connections)

root      486  0.0  0.1  1356  572 ?        S    Jun27  0:03 /sbin/syslogd

root      489  0.0  0.0  2300  408 ?        S    Jun27  0:00 /sbin/klogd -c 1 -2

root      530  0.0  0.4 81860 2096 ?        S    Jun27  0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

root      544  0.0  0.0  1376  380 ?        S    Jun27  0:00 /usr/local/visas/cronolog/cronolog --symlink=/usr/local/visas/logfiles/xst-clan.com/access_log --prev-symlink=/usr/local/visas/logfiles/xst-clan.com/current_access_log /usr/local/visas/logfiles/xst-clan.com/%Y/%m/%d/access_log

wwwrun    545  0.0  0.8 82140 4432 ?        S    Jun27  0:12 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    546  0.0  0.8 82032 4256 ?        S    Jun27  0:15 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    547  0.0  0.8 82056 4448 ?        S    Jun27  0:16 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    548  0.0  0.8 82168 4368 ?        S    Jun27  0:16 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    549  0.0  0.8 82160 4556 ?        S    Jun27  0:13 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

bin        551  0.0  0.0  1300  492 ?        S    Jun27  0:00 /sbin/portmap

root      599  0.0  0.1  4144 1012 ?        S    Jun27  0:00 /usr/sbin/sshd

root      607  0.0  0.4 81536 2508 ?        S    Jun27  0:00 /usr/sbin/httpd -f /etc/httpd/httpd.visas -DSSL

vpopmail  633  0.0  1.2 82628 6440 ?        S    Jun27  0:32 /usr/sbin/httpd -f /etc/httpd/httpd.visas -DSSL

root      638  0.0  0.1  2260  948 ?        S    Jun27  0:00 /bin/sh /usr/bin/safe_mysqld --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --socket=/var/lib/mysql/mysql.sock --datadir=/var/lib/mysql

mysql      675  0.0  3.1 21436 16452 ?      S    Jun27  0:02 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --skip-locking

mysql      679  0.0  3.1 21436 16452 ?      S    Jun27  0:02 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --skip-locking

mysql      680  0.0  3.1 21436 16452 ?      S    Jun27  0:02 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --skip-locking

named      720  0.0  0.1  2936  880 ?        S    Jun27  0:00 /usr/sbin/named -u named -g named

wwwrun    848  0.0  0.8 82140 4300 ?        S    Jun27  0:11 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

at        868  0.0  0.0  1400  504 ?        S    Jun27  0:00 /usr/sbin/atd

root      882  0.0  0.1  1416  564 ?        S    Jun27  0:01 /usr/sbin/cron

root      900  0.0  0.0  1396  496 tty1    S    Jun27  0:00 /sbin/mingetty --noclear tty1

root      901  0.0  0.0  1396  496 tty2    S    Jun27  0:00 /sbin/mingetty tty2

root      902  0.0  0.0  1396  496 tty3    S    Jun27  0:00 /sbin/mingetty tty3

root      903  0.0  0.0  1396  496 tty4    S    Jun27  0:00 /sbin/mingetty tty4

root      904  0.0  0.0  1396  496 tty5    S    Jun27  0:00 /sbin/mingetty tty5

root      905  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      906  0.0  0.0  1396  496 tty6    S    Jun27  0:00 /sbin/mingetty tty6

root      907  0.0  0.0  1260  412 ttyS0    S    Jun27  0:00 /sbin/agetty -L 57600 ttyS0 vt102

root      908  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      909  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      910  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      911  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      912  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

root      913  0.0  0.1 11688  524 ?        S    Jun27  0:00 /usr/sbin/nscd

wwwrun    940  0.0  0.8 82044 4204 ?        S    Jun27  0:14 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    941  0.0  0.7 82044 3760 ?        S    Jun27  0:15 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

wwwrun    942  0.0  0.7 82056 3840 ?        S    Jun27  0:11 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

tss      1043  0.0  0.3 62800 2020 ?        SN  Jun27  0:02 ./server_linux -PID=tsserver2.pid

tss      1044  0.0  0.3 62800 2020 ?        S    Jun27  0:00 ./server_linux -PID=tsserver2.pid

tss      1045  0.0  0.3 62800 2020 ?        S    Jun27  1:18 ./server_linux -PID=tsserver2.pid

tss      1046  0.0  0.3 62800 2020 ?        S    Jun27  5:15 ./server_linux -PID=tsserver2.pid

tss      1047  0.0  0.3 62800 2020 ?        S    Jun27  4:54 ./server_linux -PID=tsserver2.pid

tss      1048  0.0  0.3 62800 2020 ?        S    Jun27  0:00 ./server_linux -PID=tsserver2.pid

tss      1049  0.0  0.3 62800 2020 ?        S    Jun27  0:00 ./server_linux -PID=tsserver2.pid

tss      1050  0.0  0.3 62800 2020 ?        S    Jun27  0:00 ./server_linux -PID=tsserver2.pid

tss      1051  0.0  0.3 62800 2020 ?        S    Jun27  0:00 ./server_linux -PID=tsserver2.pid

wwwrun    1137  0.0  0.7 82152 3804 ?        S    Jun27  0:13 /usr/sbin/httpd -f /etc/httpd/httpd.conf -DSSL

vpopmail  3441  0.0  1.2 82612 6424 ?        S    Jun27  0:18 /usr/sbin/httpd -f /etc/httpd/httpd.visas -DSSL

bf        4861  0.0  3.0 16872 15664 ?      S    Jun27  7:06 ./bfsmd -daemon -restart -port 14668

bf      25683  0.2 12.4 73356 64252 ?      S    Jul07  12:52 ./bf1942_lnxded +game racingmod +restart 1 +dedicated 1 +reconnectPassword 7315 +reconnectSlots 4 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

bf      29550  0.0  1.7  9972 9252 ?        S    Jul07  2:01 ./bfsmd -daemon -restart

bf        9043  2.3 10.2 62540 52928 ?      S    Jul08 103:21 ./bf1942_lnxded +game bf1942 +restart 1 +dedicated 1 +reconnectPassword 1784 +reconnectSlots 1 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

bfv      19205  0.0  0.2  2320 1540 ?        S    Jul09  0:00 ./bvsmd -daemon -restart

bf      12628  0.0 12.4 73356 64252 ?      S    12:23  0:00 ./bf1942_lnxded +game racingmod +restart 1 +dedicated 1 +reconnectPassword 7315 +reconnectSlots 4 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

bf      12629  0.0 12.4 73356 64252 ?      S    12:23  0:11 ./bf1942_lnxded +game racingmod +restart 1 +dedicated 1 +reconnectPassword 7315 +reconnectSlots 4 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

bf      14637  0.0 10.2 62540 52928 ?      S    16:27  0:00 ./bf1942_lnxded +game bf1942 +restart 1 +dedicated 1 +reconnectPassword 1784 +reconnectSlots 1 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

bf      14638  0.0 10.2 62540 52928 ?      S    16:27  0:00 ./bf1942_lnxded +game bf1942 +restart 1 +dedicated 1 +reconnectPassword 1784 +reconnectSlots 1 +config ServerSettings.con +statusMonitor 0 +overlayPath --- +priorityDaemon 0

mysql    14858  0.0  3.1 21436 16452 ?      S    16:49  0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --skip-locking

root    14859  0.0  0.0  1260  332 ?        S    16:49  0:00 exec_command.cgi

root    14864  0.0  0.2  2372 1180 ?        S    16:49  0:00 sh -c su -c 'ps -aux' root > /usr/local/visas/tmp/outdata 2>&1

root    14865  0.0  0.1  2052  824 ?        S    16:49  0:00 su -c ps -aux root

root    14866  0.0  0.3  2620 1628 ?        R    16:49  0:00 ps -aux

netstat:

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address          Foreign Address        State      PID/Program name

tcp        0      0 0.0.0.0:51234          0.0.0.0:*              LISTEN      1043/server_linux

tcp        0      0 0.0.0.0:14534          0.0.0.0:*              LISTEN      1043/server_linux

tcp        0      0 0.0.0.0:4711            0.0.0.0:*              LISTEN      9043/bf1942_lnxded

tcp        0      0 0.0.0.0:4712            0.0.0.0:*              LISTEN      25683/bf1942_lnxded

tcp        0      0 0.0.0.0:3306            0.0.0.0:*              LISTEN      675/mysqld

tcp        0      0 81.169.179.160:14667    0.0.0.0:*              LISTEN      29550/bfsmd

tcp        0      0 81.169.179.160:14668    0.0.0.0:*              LISTEN      4861/bfsmd

tcp        0      0 0.0.0.0:22222          0.0.0.0:*              LISTEN      607/httpd

tcp        0      0 0.0.0.0:111            0.0.0.0:*              LISTEN      551/portmap

tcp        0      0 0.0.0.0:80              0.0.0.0:*              LISTEN      530/httpd

tcp        0      0 81.169.179.160:15667    0.0.0.0:*              LISTEN      19205/bvsmd

tcp        0      0 81.169.179.160:53      0.0.0.0:*              LISTEN      720/named

tcp        0      0 127.0.0.1:53            0.0.0.0:*              LISTEN      720/named

tcp        0      0 0.0.0.0:21              0.0.0.0:*              LISTEN      483/proftpd: (accep

tcp        0      0 0.0.0.0:443            0.0.0.0:*              LISTEN      530/httpd

tcp        0      0 81.169.179.160:44046    81.169.179.160:4712    ESTABLISHED 4861/bfsmd

tcp        1      0 81.169.179.160:14667    212.144.214.88:1640    CLOSE_WAIT  9043/bf1942_lnxded

tcp        0      0 81.169.179.160:44065    81.169.179.160:4711    ESTABLISHED 29550/bfsmd

tcp        1      0 81.169.179.160:14667    217.233.217.25:63244    CLOSE_WAIT  9043/bf1942_lnxded

tcp        0      0 81.169.179.160:4712    81.169.179.160:44046    ESTABLISHED 25683/bf1942_lnxded

tcp        0      0 81.169.179.160:4711    81.169.179.160:44065    ESTABLISHED 9043/bf1942_lnxded

tcp        0      0 81.169.179.160:14667    80.128.210.13:33689    ESTABLISHED 29550/bfsmd

tcp        0      0 :::22                  :::*                    LISTEN      599/sshd

tcp        0  3556 81.169.179.160:22      217.255.121.176:62445  ESTABLISHED 14873/sshd

udp        0      0 0.0.0.0:32768          0.0.0.0:*                          720/named

udp        0      0 81.169.179.160:53      0.0.0.0:*                          720/named

udp        0      0 127.0.0.1:53            0.0.0.0:*                          720/named

udp        0      0 0.0.0.0:8767            0.0.0.0:*                          1043/server_linux

udp    62208      0 0.0.0.0:68              0.0.0.0:*                          461/dhcpcd

udp        0      0 0.0.0.0:23000          0.0.0.0:*                          9043/bf1942_lnxded

udp        0      0 0.0.0.0:23001          0.0.0.0:*                          25683/bf1942_lnxded

udp        0      0 0.0.0.0:14690          0.0.0.0:*                          9043/bf1942_lnxded

udp        0      0 0.0.0.0:14691          0.0.0.0:*                          25683/bf1942_lnxded

udp        0      0 0.0.0.0:14567          0.0.0.0:*                          9043/bf1942_lnxded

udp        0      0 0.0.0.0:14568          0.0.0.0:*                          25683/bf1942_lnxded

udp        0      0 0.0.0.0:111            0.0.0.0:*                          551/portmap

Hab da mal was rot markiert, klingt ganz danach oder?

chkconfig:

apache                    0:off  1:off  2:off  3:on    4:off  5:on    6:off

atd                      0:off  1:off  2:on    3:on    4:off  5:on    6:off

cron                      0:off  1:off  2:on    3:on    4:off  5:on    6:off

fbset                    0:off  1:on    2:on    3:on    4:off  5:on    6:off

hotplug                  0:off  1:on    2:on    3:on    4:off  5:on    6:off

hwscan                    0:off  1:off  2:on    3:on    4:off  5:on    6:off

kbd                      0:off  1:on    2:on    3:on    4:off  5:on    6:off

mysql                    0:off  1:off  2:off  3:on    4:off  5:off  6:off

named                    0:off  1:off  2:off  3:on    4:off  5:on    6:off

network                  0:off  1:off  2:on    3:on    4:off  5:on    6:off

nscd                      0:off  1:off  2:off  3:on    4:off  5:on    6:off

pop3d                    0:off  1:off  2:off  3:on    4:off  5:on    6:off

portmap                  0:off  1:off  2:off  3:on    4:off  5:on    6:off

proftpd                  0:off  1:off  2:on    3:on    4:off  5:on    6:off

qmail                    0:off  1:off  2:off  3:on    4:off  5:on    6:off

quota                    0:off  1:off  2:on    3:on    4:off  5:on    6:off

random                    0:off  1:off  2:on    3:on    4:off  5:on    6:off

rpmconfigcheck            0:off  1:on    2:on    3:on    4:off  5:on    6:off

sshd                      0:off  1:off  2:off  3:on    4:off  5:on    6:off

syslog                    0:off  1:off  2:on    3:on    4:off  5:on    6:off

visas                    0:off  1:off  2:on    3:on    4:off  5:on    6:off

sooo, dann guckt mal :D

@ Dennis Moore: bekommst du auch angezeigt von welchem Port aus der Server das macht??

CC

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich glaube nicht, ich schicke dir gleich mal eine PM wo ich dann alles reinkopiere was mir Sygate gesagt hat.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Sygate spuckte bei mir damals 4 Ports aus die vom root gescannt worden sind, hatte aber nix mit kommu zwischen client und server beim zoggn zu tun, da ich auf dem Server gar net gezoggt hatte.

Als Angreifer stand nur die IP da und der xst-clan.com halt...naja und da Eure Ip geblockt wird kann ich net mehr nachvollziehen, welche Ports das waren...und werd den block auch net aufheben.

Aber schön, daß Ihr Euch weiterhin um das Problem kümmert..... :D

Link zu diesem Kommentar
Auf anderen Seiten teilen



  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.