У меня часто появляются подобные соединения в iftop:
12.15.127.75.host.nwnx.net => 121.61.153.172 480b 160b 40b
Понятия не имею, что это такое и откуда оно взялось. А netstat -a показывает:
udp 0 0 12.15.127.75:netbios-ns *:*
udp 0 0 12.15.127.75:netbios-ns *:*
На данный момент я думаю, что меня, вероятно, взломали, но есть ли у кого-нибудь умный способ расследовать подобные вещи?
** РЕДАКТИРОВАТЬ **
Я посмотрел на это с помощью сниффера пакетов (tcpdump), ища I.P, подключающийся к 124.134.97.173
124.134.97.173.1317 > 12.15.127.75.host.nwnx.net.ms-sql-s: Flags [S], cksum 0xb2af (correct), seq 1417033873, win 65535, options [mss 1440,nop,nop,sackOK], length 0
12.15.127.75.host.nwnx.net.ms-sql-s > 124.134.97.173.1317: Flags [R.], cksum 0xdf4b (correct), seq 0, ack 1417033874, win 0, length 0
Transmission Control Protocol, Src Port: ms-sql-s (1433), Dst Port: vrts-ipcserver (1317), Seq: 1, Ack: 1, Len: 0
Source port: ms-sql-s (1433)
Destination port: vrts-ipcserver (1317)
Все еще не знаю, что с этим делать
Спасибо
Просто глядя на предоставленную информацию, а это немного, я бы сказал, что программное обеспечение Veritas обменивается данными с базой данных Ms-SQL по сети. vrts-ipcserver обозначает одну из административных служб для установки Veritas.
Вы можете найти информацию о портах Veritas здесь: http://h30499.www3.hp.com/t5/System-Administration/Ports-used-by-Veritas-admin-tools/td-p/3164261