gehackt ?

fpausp

728
+0/-0

gehackt ?

« on: October 26, 2007, 12:31:09 PM »

hallo leute,

ich glaub ich bin gehackt worden, ich verwende einen linksys wrt54gs-router an dem ein adsl-modem hängt zur verbindung ins internet.

hinter dem wrt54gs-router hängt der sme-server im private and gateway modus und am server hängen einige xp clients.

hab hier einen auszug der verbindugen:

[root@smeserver ~]# netstat -an
Aktive Internetverbindungen (smeserver und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:548 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:980 0.0.0.0:* LISTEN
tcp 0 0 192.x.x.x:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.2:53 0.0.0.0:* LISTEN
tcp 0 0 192.x.x.x:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3128 0.0.0.0:* LISTEN
tcp 0 0 192.x.x.x:3128 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:26 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:4700 0.0.0.0:* LISTEN
tcp 0 1 10.x.x.x:33402 72.14.217.91:80 FIN_WAIT1
tcp 0 1458 192.x.x.x:3128 192.x.x.x:1401 LAST_ACK
tcp 0 184 192.x.x.x:22 192.x.x.x:1424 VERBUNDEN
tcp 0 0 192.x.x.x:22 192.x.x.x:1422 VERBUNDEN
udp 0 0 10.x.x.x:21249 204.13.250.82:53 VERBUNDEN
udp 0 0 0.0.0.0:32769 0.0.0.0:*
udp 0 0 10.x.x.x:25218 204.13.249.82:53 VERBUNDEN
udp 0 0 10.x.x.x:30596 209.85.137.9:53 VERBUNDEN
udp 0 0 10.x.x.x:28933 64.233.167.9:53 VERBUNDEN
udp 0 0 192.x.x.x:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.x.x.x:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 10.x.x.x:21007 64.233.167.9:53 VERBUNDEN
udp 0 0 127.0.0.2:1039 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:45200 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:44432 213.155.150.206:53 VERBUNDEN
udp 0 0 10.x.x.x:44305 204.13.250.82:53 VERBUNDEN
udp 0 0 10.x.x.x:52499 66.249.93.9:53 VERBUNDEN
udp 0 0 0.0.0.0:1812 0.0.0.0:*
udp 0 0 0.0.0.0:1813 0.0.0.0:*
udp 0 0 10.x.x.x:38934 64.233.161.9:53 VERBUNDEN
udp 0 0 10.x.x.x:1814 209.85.137.9:53 VERBUNDEN
udp 0 0 127.0.0.2:51862 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:61079 204.13.250.82:53 VERBUNDEN
udp 0 0 10.x.x.x:10648 64.233.179.9:53 VERBUNDEN
udp 0 0 10.x.x.x:24472 64.233.179.9:53 VERBUNDEN
udp 0 0 10.x.x.x:30360 64.233.161.9:53 VERBUNDEN
udp 0 0 127.0.0.2:24729 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:24346 204.13.250.82:53 VERBUNDEN
udp 0 0 10.x.x.x:17690 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:33050 72.14.235.9:53 VERBUNDEN
udp 0 0 10.x.x.x:35355 204.13.250.82:53 VERBUNDEN
udp 0 0 127.0.0.2:41115 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:58274 204.13.250.82:53 VERBUNDEN
udp 0 0 127.0.0.2:40610 127.0.0.2:53 VERBUNDEN
udp 0 0 127.0.0.2:5925 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:58281 209.85.139.9:53 VERBUNDEN
udp 0 0 10.x.x.x:58154 213.155.150.206:53 VERBUNDEN
udp 0 0 127.0.0.2:18603 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:28208 209.85.139.9:53 VERBUNDEN
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 192.x.x.x:53 0.0.0.0:*
udp 0 0 127.0.0.2:53 0.0.0.0:*
udp 0 0 10.x.x.x:47927 213.155.150.206:53 VERBUNDEN
udp 0 0 10.x.x.x:15032 64.233.161.9:53 VERBUNDEN
udp 0 0 127.0.0.2:30648 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:64569 63.208.196.92:53 VERBUNDEN
udp 0 0 10.x.x.x:51385 64.233.179.9:53 VERBUNDEN
udp 0 0 0.0.0.0:3130 0.0.0.0:*
udp 0 0 192.x.x.x:3130 0.0.0.0:*
udp 0 0 10.x.x.x:36924 209.85.137.9:53 VERBUNDEN
udp 0 0 10.x.x.x:65340 203.62.195.76:53 VERBUNDEN
udp 0 0 127.0.0.2:62782 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:51392 63.208.196.92:53 VERBUNDEN
udp 0 0 10.x.x.x:10945 204.13.250.82:53 VERBUNDEN
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 10.x.x.x:19525 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:27333 63.208.196.92:53 VERBUNDEN
udp 0 0 10.x.x.x:11589 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:52809 209.85.139.9:53 VERBUNDEN
udp 0 0 10.x.x.x:49225 209.85.139.9:53 VERBUNDEN
udp 0 0 10.x.x.x:15052 64.233.179.9:53 VERBUNDEN
udp 0 0 127.0.0.2:9934 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:5710 66.249.93.9:53 VERBUNDEN
udp 0 0 127.0.0.2:16080 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:29521 204.13.249.82:53 VERBUNDEN
udp 0 0 10.x.x.x:7121 209.85.137.9:53 VERBUNDEN
udp 0 0 10.x.x.x:65235 213.155.150.206:53 VERBUNDEN
udp 0 0 10.x.x.x:28629 66.249.93.9:53 VERBUNDEN
udp 0 0 10.x.x.x:49749 66.249.93.9:53 VERBUNDEN
udp 0 0 10.x.x.x:59094 209.85.139.9:53 VERBUNDEN
udp 0 0 10.x.x.x:61526 204.13.249.82:53 VERBUNDEN
udp 0 0 10.x.x.x:33370 203.62.195.76:53 VERBUNDEN
udp 0 0 127.0.0.2:22365 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:9438 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:31584 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:49506 64.233.167.9:53 VERBUNDEN
udp 0 0 10.x.x.x:50919 64.233.179.9:53 VERBUNDEN
udp 0 0 10.x.x.x:29672 209.85.139.9:53 VERBUNDEN
udp 0 0 10.x.x.x:38380 72.14.235.9:53 VERBUNDEN
udp 0 0 10.x.x.x:30189 203.62.195.76:53 VERBUNDEN
udp 0 0 10.x.x.x:48878 204.13.249.82:53 VERBUNDEN
udp 0 0 10.x.x.x:49652 64.233.179.9:53 VERBUNDEN
udp 0 0 10.x.x.x:43253 204.13.250.82:53 VERBUNDEN
udp 0 0 127.0.0.2:21110 127.0.0.2:53 VERBUNDEN
udp 0 0 127.0.0.2:32376 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:55545 203.62.195.76:53 VERBUNDEN
udp 0 0 127.0.0.2:32251 127.0.0.2:53 VERBUNDEN
udp 0 0 10.x.x.x:123 0.0.0.0:*
udp 0 0 192.x.x.x:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 10.x.x.x:15101 209.85.137.9:53 VERBUNDEN
udp 0 0 10.x.x.x:48510 204.13.249.82:53 VERBUNDEN
udp 0 0 10.x.x.x:54526 66.249.93.9:53 VERBUNDEN
raw 0 0 0.0.0.0:1 0.0.0.0:* 7
Aktive Sockets in der UNIX Domäne (smeserver und stehende Verbindungen)
Proto RefZäh Flaggen Typ Zustand I-Node Pfad
unix 2 [ ACC ] STREAM HÖRT 9248 /var/run/lprng
unix 2 [ ACC ] STREAM HÖRT 8968 /var/run/acpid.socket
unix 2 [ ACC ] STREAM HÖRT 10084 /var/run/dbus/system_bus_socket
unix 2 [ ] DGRAM 8136 /var/empty/sshd/dev/log
unix 2 [ ACC ] STREAM HÖRT 9075 /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM HÖRT 10479 /var/clamav/clamd.socket
unix 2 [ ] DGRAM 10148 @/var/run/hal/hotplug_socket
unix 2 [ ] DGRAM 4020 @udevd
unix 2 [ ACC ] STREAM HÖRT 8092 /var/lib/cvm/cvm-unix-local.socket
unix 13 [ ] DGRAM 8133 /dev/log
unix 2 [ ] DGRAM 16234
unix 3 [ ] STREAM VERBUNDEN 13859
unix 3 [ ] STREAM VERBUNDEN 13858
unix 3 [ ] STREAM VERBUNDEN 13857
unix 3 [ ] STREAM VERBUNDEN 13856
unix 2 [ ] DGRAM 10878
unix 2 [ ] DGRAM 10864
unix 3 [ ] STREAM VERBUNDEN 10147 /var/run/dbus/system_bus_socket
unix 3 [ ] STREAM VERBUNDEN 10146
unix 2 [ ] DGRAM 10117
unix 3 [ ] STREAM VERBUNDEN 10087
unix 3 [ ] STREAM VERBUNDEN 10086
unix 2 [ ] DGRAM 10003
unix 2 [ ] DGRAM 9967
unix 2 [ ] DGRAM 9748
unix 2 [ ] DGRAM 9699
unix 2 [ ] DGRAM 9465
unix 2 [ ] DGRAM 9389
unix 2 [ ] DGRAM 8942
unix 2 [ ] DGRAM 8144

brauche dingend euren rat !

MfG
fpausp

Logged

Viribus unitis

FraunhoferIFF

932
+0/-0
Widerstand ist Zwecklos !

Re: gehackt ?

« Reply #1 on: October 26, 2007, 06:08:09 PM »

im Nur Server Modus ?

und welche Ports sind von WRT weitergeleitet ?

Logged

fpausp

728
+0/-0

Re: gehackt ?

« Reply #2 on: October 26, 2007, 08:46:16 PM »

hi,

im privaten server und gateway modus, ports sind keine weitergeleitet.

der wrt hing an der externen schnittstelle des sme-servers, hab jetzt mein speedtouch modem auf router umgestellt um den wrt mal ersetzten zu können, hat leider keine verbesserung gebracht.

hab den server neu aufgesetzt, brachte auch nix, die nächsten dinge sind mein pc und zu guter letzt noch der switch.
wenn das auch nix bringt weiß ich keinen rat mehr.

MfG
fpausp

Logged

Viribus unitis

FraunhoferIFF

932
+0/-0
Widerstand ist Zwecklos !

Re: gehackt ?

« Reply #3 on: October 26, 2007, 09:06:29 PM »

kann es sein das deine ip´s für beide Schnittstellen im selben Netz liegen? und dann eventuelle an ein und das selbe switch gehen?

Logged

fpausp

728
+0/-0

Re: gehackt ?

« Reply #4 on: October 27, 2007, 12:32:06 AM »

ich verwende extern 10.x.x.x und intern 192.x.x.x

mfg
fpausp

Logged

Viribus unitis

capri

530
+0/-0

Re: gehackt ?

« Reply #5 on: October 27, 2007, 09:51:04 AM »

Mach halt mal eine Nameauflösung für die entsprechenden IP Adressen, um zu sehen welche Server es sind, es könnten ja auch DNS, Update, Windows-Update, Clamav und Spamfilter Adressen sein.

Habe mal ein paar aufgelößt:

Name: bu-in-f91.google.com
Address: 72.14.217.91

Name: ns3.mydyndns.org
Address: 204.13.250.82

Name: ns2.mydyndns.org
Address: 204.13.249.82

Name: mg-in-f9.google.com
Address: 209.85.137.9

Name: py-in-f9.google.com
Address: 64.233.167.9

Name: ns5.mydyndns.org
Address: 203.62.195.76

Also 'unverfängliche' Adressen.

« Last Edit: October 27, 2007, 10:08:19 AM by capri »

Logged

fpausp

728
+0/-0

Re: gehackt ?

« Reply #6 on: October 30, 2007, 07:23:14 PM »

Nabend,

Ich vermute es war die dreambox, seit dem ich sie vom Netz genommen hab is alles ok,

MfG
fpausp

Logged

Viribus unitis