Conexiones desde puerto 8247

Imagen de gledof
0 puntos

Desde hace unos dos o tres dias estoy registrando con "ipband" unas conexiones TCP de diferentes IPs pero con el mismo puerto de origen 8247.
En la columna final del reporte deberia figurar el protocolo como se ve en la ultima linea puerto 53=DNS pero en esa serie de conexiones no se muestra el tipo de protocolo. Estas conexiones aparecen agrupadas
como se ve en el listado de abajo, pude encontrar esto en internet pero no estoy seguro de lo que significa. Ahi habla algo sobre una vulnerabilidad pero no entiendo si es un bug del sistema, un ataque o un troyano. Corri chkrootkit y rkhunter pero salvo un falso-positivo en /etc/init que encontre en la web no hay nada infectado. Agradeceria alguna aclaracion sobre el origen de estas conexiones.

146.185.20.178 < 8247> <-> 192.168.1.80 <41575> tcp 0.42
50.23.241.5 < 8247> <-> 192.168.1.80 <56171> tcp 0.42
162.210.192.136 < 8247> <-> 192.168.1.80 <40480> tcp 0.42
192.168.1.80 <42152> <-> 208.43.249.228 < 8247> tcp 0.42
184.173.173.210 < 8247> <-> 192.168.1.80 <57571> tcp 0.42
37.58.79.84 < 8247> <-> 192.168.1.80 <57874> tcp 0.42
146.185.20.186 < 8247> <-> 192.168.1.80 <45630> tcp 0.42
37.58.79.81 < 8247> <-> 192.168.1.80 <55412> tcp 0.42
192.168.1.80 <33210> <-> 208.43.249.232 < 8247> tcp 0.42
50.22.155.170 < 8247> <-> 192.168.1.80 <47105> tcp 0.42
50.97.210.166 < 8247> <-> 192.168.1.80 <58511> tcp 0.42
119.81.37.27 < 8247> <-> 192.168.1.80 <53245> tcp 0.42
173.193.194.68 < 8247> <-> 192.168.1.80 <38968> tcp 0.42
67.228.65.3 < 8247> <-> 192.168.1.80 <43177> tcp 0.42
5.79.84.202 < 8247> <-> 192.168.1.80 <55556> tcp 0.42
37.58.79.84 < 8247> <-> 192.168.1.80 <56176> tcp 0.42
37.58.79.72 < 8247> <-> 192.168.1.80 <41059> tcp 0.42
192.168.1.80 <50478> <-> 208.43.9.114 < 8247> tcp 0.42
50.97.96.164 < 8247> <-> 192.168.1.80 <52892> tcp 0.42
184.173.173.221 < 8247> <-> 192.168.1.80 <52793> tcp 0.42
5.153.5.132 < 8247> <-> 192.168.1.80 <37027> tcp 0.42
192.168.1.80 <43095> <-> 218.208.35.231 < 8247> tcp 0.42
37.58.85.21 < 8247> <-> 192.168.1.80 <39246> tcp 0.42
192.168.1.80 <46439> <-> 208.67.222.222 < 53> udp 0.42 domain

Podria ser tambien algun programa que se este conectando con sus servidores, pero tampoco se identificar que programa estaria haciendo eso.

Imagen de nacho tineo
+1
0
-1

Muy buenas y mirando con el comando netstat -p ,no puedes ver las conexiones ?.
También puedes hacer uso de la herramienta nmap la cual no vienen instalada pero esta en los repositorios.

Un saludo.

+1
0
-1

La libertad es aquella facultad que aumenta la utilidad de todas las demás facultades.
(Immanuel Kant)

Imagen de gledof
+1
0
-1

netstat solo funcionaria si lo corro en el instante en que se hacen esas conexiones y nmap o zenmap seria mas o meno lo mismo. Ejecute "whois" sobre las IPs y en casi todas aparece una pagina www-softlayer.com. Podra ser uno de esos servidores de los que no recuerdo las siglas que se usan para distribucion de multimedia?
Igual si alguien entiende bien ingles me gustaria saber que dice en la pagina que deje en el post de inicio sobre cierta vulnerabilidad.

+1
0
-1

Saludos.----