<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Times New Roman; font-size: 12pt; color: #000000'>Could this be innocuous? Could it be that you're running [Open]SUSE, and your machine's trying to update itself?<span><br><br><span name="x"></span>David L. Willson<br>Trainer, Engineer, Enthusiast<br>RHCE MCT MCSE Network+ A+ Linux+ LPIC-1 NovellCLA UbuntuCP<br>tel://720.333.LANS<br>Freedom is better when you earn it. Learn Linux.<span name="x"></span><br></span><br><hr id="zwchr"><blockquote style="border-left:2px solid rgb(16, 16, 255);margin-left:5px;padding-left:5px;color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;">

<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
<div dir="ltr">
my machine has clearly been hacked and infected.  any help greatly appreciated.  I have a wireshark capture of my machine trying to access the akami ftp site when nothing other than wireshark was running!  additionally my machine is looking up downloads.suse.org  and the download.nvidiacom site every several minutes, again without any other activity.  <br><br>i'm running open suse 12.1, automatic updates is set to not check for updates.  packagekitd is also frequently running for no good reason, fairly alarming as it suggest someone has been futsing with my system.  what logs should i look at?  transmission is also randomly terminating without any notice of crash or any apparent reason further suggesting that someone wants bandwidth on my machine, most likely to steal files or run some sort of bot trying to attack other sites (as the akami ftp access suggest).  the akami ftp site is password protected for "anonymous" logins and my machine is responding with a password that seems to work specifically "yast@10.x.x"  where x is a number i've blanked out for obvious reasons.  Scary!<br><br>on further examination of the wireshark capture my machine is entering the suse directory at the akami site (69.31.121.43) which is NOT from a dns query further suggesting a virus/bot infection since the ip address is obviously hard coded!  further after it succesfully logs into the akami site and changes directory a 951 byte file named "repo.md.xml" is being downloaded and then my system is logged out of the akami site.  very odd indeed!<br><br>any one have any idea wtf is going on?  is this a virus/bot or strange behaviour somehow normal???  <br><br>this install has been running less than 1 month.  also experiancing apparent high load/delays randomly further suggesting a slow down but the task monitors etc. don't show any apps using a lot of cpu time.  i'ts a dual core athlon running at 3Ghz and usually fairly peppy.  also having dropouts in audio playing movies that go away later when playing the same file and have not occured before on at least 2 different players (vlc and caffeine, vlc has it's own codecs so it's not a codec issue).<br><br>I have forwarded the wireshark capture to akami security of course.<br><br>"The difference between genius and stupidity is that genius has it's limits"  Albert Einstein
                                          </div>
<br>_______________________________________________<br>clue mailing list: clue@cluedenver.org<br>For information, account preferences, or to unsubscribe see:<br>http://cluedenver.org/mailman/listinfo/clue</blockquote><br></div></body></html>