[System: openSUSE 11.3 (Linux 2.6.34.10-0.4-default x86_64). KDE 4.4.4, mit regelmäßigen Updates.
Netzzugang via WLAN über Proxy mit Squid]
Mein Laptop begann vorhin plötzlich mit Höchstlast zu laufen, was man dank Ventilator gut hört. Das ist nichts ungewöhnliches, besonders seit ich vor kurzem aus dem suse Repository "Libre Office 3.4.2." aufgespielt habe, fährt er öfter Mal mit Volldampf.
Nun erschien ein jedoch ein kleines X-Server-Fenster, daß ich fast übersehen hätte, mit der Meldung "Connecting to Server 216.180.237.122:8126" und lief ein paar Minuten. Nun ist dieser "Port 8126" im Firewall nicht offen (und in /etc/services auch nicht aufgefürt). Ein schneller Blick in top zeigte noch, daß die Last von "plugin-wrapper" verursacht würde (genau zu lesen hatte ich keine Zeit mehr).
Nun habe ich gestern auch zum einen Firefox 9 aufgespielt -- früher war der ns-plugin wrapper ja eine stets Quelle von Höchstlast, zum anderen aber auch meinen Opera mit einigen add-ons aufgehübscht.
Wenn mann dann im Internet nach "port 8126" sucht, bekommt man etliche gruselige Hinweise auf mehrere Spybots, die über IRC angreifen (W32.Spybot, W32.Pejaybot, KelvirQ) -- alles nicht sehr schön. IRC verwende ich eh nicht.
Frage ist nun? Wie und/oder wo finde ich was immer hier rummacht. (Akute Gefahr scheint nicht zu bestehen)
---
Zur IP Adresse gibt whois:
ns1.resellerglobotec.com in Atlanta
Die Revers-Suche wirft 10 domains aus, 7 davon in Argentinien, 3 .com, dia aber auch von dort sind (was insofern interessant ist, als daß ich den ganzen Tag auf argentinischen Seiten unterwegs war) , muß aber nichts heißen es sämtlich kleine Firmen zu sein, die wohl zu hacken sind.
Netzzugang via WLAN über Proxy mit Squid]
Mein Laptop begann vorhin plötzlich mit Höchstlast zu laufen, was man dank Ventilator gut hört. Das ist nichts ungewöhnliches, besonders seit ich vor kurzem aus dem suse Repository "Libre Office 3.4.2." aufgespielt habe, fährt er öfter Mal mit Volldampf.
Nun erschien ein jedoch ein kleines X-Server-Fenster, daß ich fast übersehen hätte, mit der Meldung "Connecting to Server 216.180.237.122:8126" und lief ein paar Minuten. Nun ist dieser "Port 8126" im Firewall nicht offen (und in /etc/services auch nicht aufgefürt). Ein schneller Blick in top zeigte noch, daß die Last von "plugin-wrapper" verursacht würde (genau zu lesen hatte ich keine Zeit mehr).
Nun habe ich gestern auch zum einen Firefox 9 aufgespielt -- früher war der ns-plugin wrapper ja eine stets Quelle von Höchstlast, zum anderen aber auch meinen Opera mit einigen add-ons aufgehübscht.
Wenn mann dann im Internet nach "port 8126" sucht, bekommt man etliche gruselige Hinweise auf mehrere Spybots, die über IRC angreifen (W32.Spybot, W32.Pejaybot, KelvirQ) -- alles nicht sehr schön. IRC verwende ich eh nicht.
Frage ist nun? Wie und/oder wo finde ich was immer hier rummacht. (Akute Gefahr scheint nicht zu bestehen)
---
Zur IP Adresse gibt whois:
ns1.resellerglobotec.com in Atlanta
Die Revers-Suche wirft 10 domains aus, 7 davon in Argentinien, 3 .com, dia aber auch von dort sind (was insofern interessant ist, als daß ich den ganzen Tag auf argentinischen Seiten unterwegs war) , muß aber nichts heißen es sämtlich kleine Firmen zu sein, die wohl zu hacken sind.