01 02

Conexão na Porta 6000

1. Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 13/02/2013 - 14:18h

Pessoal preciso de uma ajuda, usando o IPTRAF, vejo que tem muitas conexões com a Porta 6000 e no meu firewall esta porta não está liberada.

┌187-x-x-189.customer.tdatabrasil.net.br:1433 = 0 0 ---- eth1 │
│└173.252.224.208:6000 = 1 46 S--- eth1 │
│┌180.167.15.58:62887 = 1 48 S--- eth1 │
│└187-x-x-140.customer.tdatabrasil.net.br:443 = 0 0 ---- eth1 │
│┌173.193.205.198-static.reverse.softlayer.com:80 = 1 46 S-A- eth1 │
│└187-x-x-144.customer.tdatabrasil.net.br:52845 = 0 0 ---- eth1 │
│┌103.22.191.105:6000 = 1 46 S--- eth1 │
│└187-x-x-145.customer.tdatabrasil.net.br:1433 = 0 0 ---- eth1 │
│┌222.186.52.45:6000 = 1 46 S--- eth1 │
│└187.x.x.145:1433 = 0 0 ---- eth1 │
│┌222.186.52.45:6000 = 1 46 S--- eth1 │
│└187-x-x-190.customer.tdatabrasil.net.br:1433 = 0 0 ---- eth1 │
│┌60.190.223.181:6000 = 1 46 S--- eth1 │
│└187-9-9-145.customer.tdatabrasil.net.br:1433

Dei uma pesquisado e vi algo relacionado com vírus.

0 0

Quote

2. Re: Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 25/02/2013 - 08:52h

Alguém??

0 0

Quote

3. Re: Conexão na Porta 6000

phrich
(usa Slackware)

Enviado em 01/03/2013 - 10:11h

Cara, utilize o tcpdump para ver se ele passa, outra opção é fazer log da porta 6000 no iptables para termos mais detalhes, pois talvez seja algum programa de spam, troia ou qqr outras dessas porcarias tentando sair para a internet e o iptables esteja bloqueando...

Com o tcpdump vc pode fazer:

tcpdump -ni any port 6000

Para o iptables:

iptables -A INPUT -p tcp --dport 6000 -j LOG
iptables -A OUTPUT -p tcp --dport 6000 -j LOG
iptables -A FORWARD -p tcp --dport 6000 -j LOG

0 0

Quote

4. Re: Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 01/03/2013 - 17:26h

ph

valeu pela dica. Acabei de configurar, vamos ver se gera alguma coisa.

0 0

Quote

5. Re: Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 01/03/2013 - 17:34h

Acho que pegou alguma coisa....

#tcpdump -i eth1 port 6000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
17:26:42.262977 IP 222.186.15.21.x11 > 187-9-9-140.customer.tdatabrasil.net.br.m s-sql-s: S 1153040384:1153040384(0) win 16384
17:26:42.301034 IP 222.186.15.21.x11 > 187-9-9-144.customer.tdatabrasil.net.br.m s-sql-s: S 1513684992:1513684992(0) win 16384
17:26:42.331709 IP 222.186.15.21.x11 > 187-9-9-145.customer.tdatabrasil.net.br.m s-sql-s: S 1069481984:1069481984(0) win 16384
17:26:42.339478 IP 222.186.15.21.x11 > 187-9-9-190.customer.tdatabrasil.net.br.m s-sql-s: S 1666842624:1666842624(0) win 16384
17:26:42.352568 IP 222.186.15.21.x11 > 187-9-9-189.customer.tdatabrasil.net.br.m s-sql-s: S 276692992:276692992(0) win 16384
17:30:59.074066 IP 222.186.15.21.x11 > 187-9-9-140.customer.tdatabrasil.net.br.m s-sql-s: S 1153040384:1153040384(0) win 16384
17:30:59.086165 IP 222.186.15.21.x11 > 187-9-9-189.customer.tdatabrasil.net.br.m s-sql-s: S 276692992:276692992(0) win 16384
17:30:59.096089 IP 222.186.15.21.x11 > 187-9-9-144.customer.tdatabrasil.net.br.m s-sql-s: S 1513684992:1513684992(0) win 16384
17:30:59.108231 IP 222.186.15.21.x11 > 187-9-9-145.customer.tdatabrasil.net.br.m s-sql-s: S 1069481984:1069481984(0) win 16384
17:30:59.116077 IP 222.186.15.21.x11 > 187-9-9-190.customer.tdatabrasil.net.br.m s-sql-s: S 1666842624:1666842624(0) win 16384

10 packets captured
10 packets received by filter
0 packets dropped by kernel

0 0

Quote

6. Re: Conexão na Porta 6000

phrich
(usa Slackware)

Enviado em 04/03/2013 - 10:33h

Segundo o /etc/services:

x11 6000/tcp x11-0 # X Window System
x11 6000/udp x11-0

Já pelo tcpdump parece uma tentativa de conexão em algum sql... utilize o parâmetro -n e veja se vai tudo para o mesmo ip:

tcpdump -ni any port 6000

0 0

Quote

7. Re: Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 04/03/2013 - 11:41h

Valeu,

Estou testando agora....

0 0

Quote

8. Re: Conexão na Porta 6000

Neo_X
(usa CentOS)

Enviado em 04/03/2013 - 12:36h

[root@fwjnd ~]# tcpdump -ni eth2 port 6000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
11:56:14.677446 IP 121.56.219.8.x11 > 177.xx.194.55.webcache: S 781910016:781910016(0) win 16384
11:56:14.677892 IP 121.56.219.8.x11 > 177.xx.194.59.webcache: S 1509359616:1509359616(0) win 16384
11:56:14.680916 IP 121.56.219.8.x11 > 177.xx.194.57.webcache: S 124518400:124518400(0) win 16384
11:56:14.689922 IP 121.56.219.8.x11 > 177.xx.194.58.webcache: S 1913716736:1913716736(0) win 16384
11:56:14.690461 IP 121.56.219.8.x11 > 177.xx.194.50.webcache: S 1166213120:1166213120(0) win 16384
11:56:14.693493 IP 121.56.219.8.x11 > 177.xx.194.53.webcache: S 549126144:549126144(0) win 16384
11:56:14.765970 IP 121.56.219.8.x11 > 177.xx.194.54.webcache: S 1884553216:1884553216(0) win 16384
11:56:14.787190 IP 121.56.219.8.x11 > 177.xx.194.60.webcache: S 645660672:645660672(0) win 16384
11:56:14.787984 IP 121.56.219.8.x11 > 177.xx.194.56.webcache: S 1287651328:1287651328(0) win 16384
11:56:14.789426 IP 121.56.219.8.x11 > 177.xx.194.52.webcache: S 1529479168:1529479168(0) win 16384

10 packets captured
21 packets received by filter
0 packets dropped by kernel

[root@fwjnd ~]# tcpdump -ni eth1 port 6000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:38:00.576778 IP 61.131.218.218.x11 > 187.2.7.140.ms-sql-s: S 729677824:729677824(0) win 16384
12:38:00.579214 IP 61.131.218.218.x11 > 187.2.7.144.ms-sql-s: S 528285696:528285696(0) win 16384
12:38:00.582151 IP 61.131.218.218.x11 > 187.2.7.190.ms-sql-s: S 358481920:358481920(0) win 16384
12:38:00.582447 IP 61.131.218.218.x11 > 187.2.7.189.ms-sql-s: S 1264713728:1264713728(0) win 16384
12:38:00.584466 IP 61.131.218.218.x11 > 187.2.7.145.ms-sql-s: S 1327693824:1327693824(0) win 16384

5 packets captured
5 packets received by filter
0 packets dropped by kernel

0 0

Quote