hallo zusammen,
ich habe die tage ein merkwuerdiges verhalten bei mir festgestellt und benoetige ein wenig hilfe, die ursachen dafuer heraus zu finden bzw. ist auch alles in ordnung. ich komme leider mit meinem "latein" nicht mehr weiter.
recht zufaellig ist mir dank iftop aufgefallen, dass, sobald ich meinen monitor ausschalte, irgendwas das netzwerk "abscanned". bis zu dem augenblick, bis ich den monitor wieder einschalte. ich sehe dann gerade noch die inaktiven verbindungen in iftop verschwinden...
folgende ziele werden versucht zu erreichen
192.168.178.255 (udp-port 8610 bzw. 8612)
255.255.255.255 (udp-port 3289)
224.0.0.251 (udp-port 5353)
laut. internet koennte es sich beim ersten und dritten punkt um den avahi-daemon (zeroconf) handeln. aber gerade der mittlere zugriff hat meine aufmerksamkeit geweckt - wegen dem port. laut [speedguide.net/port.php?port=3289 speedguide.net] wird der port von citrix-diensten verwendet, (citrix netscaler gateway ....) und vor ein paar tagen bin ich erst etwas ueber diesen exploit gelesen, der genau auf diese software abzielt...
dank wireshark konnte ich zumindest schonmal den datenverkehr (und die ports) etwas genauer betrachten, aber welche anwendung (oder was auch immer) diese requests absendet kann ich nicht heraus finden. nethogs kennt wohl kein udp und netstats zeigt mir die verbindung leider nicht an.
wie gesagt, vielleicht ist auch alles cool. aber alleine schon das 'wie herausfinden', was da im hintergrund aktiv ist, wurmt mich ein wenig. wuerde mich freuen, wenn mir wer dabei helfen kann. vielen dank. liebe gruesse. brip