Trojaner?

[matman]

Ich habe gestern Abend nur das Terminal laufen gehabt, ohne xserver etc. Dabei war mir aufgefallen, das alle 30 Minuten irgendwas versucht eine Verbindung zum Internet aufzubauen. Folgende Meldungen habe ich in /var/log/messages:

Code: Alles auswählen

Mar 14 22:30:50 kernel: !!! OUTPUT-DROP !!! ---IN= OUT=eth0 SRC=192.168.123.162 DST=195.50.140.114 LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=140 DF PROTO=UDP SPT=56679 DPT=53 LEN=52

Die IP-Adresse (DST) lässt sich meinem Provider zuordnen. Hier wird also zunächst versucht eine Verbindung zum DNS zu bekommen, würde ich mal annehmen. Und es muss ja nicht unbedingt ein Trojaner sein. Könnte es ein System-Tool sein, was das verursacht? Und wenn ja, welches?

[Wiko]

lies mal

Code: Alles auswählen

http://www.hijackthis-forum.de/archiv/13379-o17-hklm-system-nameserver-195-50-140-252-195-50-140-114-a.html

[neuss]

Hallo,

dein System ist verseucht, da hilft nur nur noch alles verbrennen
Kannst aber auch mal mit

Code: Alles auswählen

lsof -i -n

gucken.

gruss neuss

[rendegast]

Ich tippe auf den queue-Dienst des MTA (bei exim per default alle halbe Stunde, QUEUEINTERVAL='30m'),

Da hilft dann

Code: Alles auswählen

dpkg-reconfigure exim4-config

mit dc_minimaldns='true'.

Den MTA, falls dieser nur für lokale Post zuständig ist, ganz deaktivieren, /etc/default/exim4 :

Code: Alles auswählen

QUEUERUNNER='nodaemon'

(Post von lokal (zBsp Systemnachrichten oder ausgehende) wird ohne Verzögerung zugestellt)

[matman]

Ich tippe auf den queue-Dienst des MTA

Der war es auch. Eigentlich ja ungünstig, das der per Default einfach drauf los sendet. Und ich meine, ich hatte das Ding längst deaktiviert. Aber scheinbar wurde Er durch die ganzen Updates, die es seit dem ersten Release von Debian 5.0 gab wieder aktiviert?