[Debian]:Re: Nameserver Anfragen
On Tue, 1 Feb 2000, Jens Benecke wrote:
>On Mon, Jan 31, 2000 at 10:59:15AM +0000, Andreas Koehler wrote:
>> On Mon, 31 Jan 2000, Jens Benecke wrote:
>> >seit einiger Zeit habe ich merkwürdige Nameserver-Anfragen auf meiner
>> >Wie bekomme ich raus, welcher Prozess diese Anfragen abschickt?
>> tcpdump ?
>
>Da habe ich nix verdächtiges sehen können. Allerdings werden da auch keine
>Prozesse angezeigt...
Hi,
Du hast natürlich recht, aber ein Herantasten sollte dennoch möglich sein.
Beispiel:
| koean# tcpdump -v 'dst host koean and dst port smtp'
| tcpdump: listening on eth0
| 09:13:01.417801 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: S
| 301568494:301568494(0) win 8760 <mss 1460> (DF) (ttl 254, id 26164)
| 09:13:01.419256 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: .
| ack 2649327935 win 8760 (DF) (ttl 254, id 26165)
| 09:13:01.500722 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: .
| ack 93 win 8760 (DF) (ttl 254, id 26170)
...
Geloggt werden damit alle "Verbindungen" an die Ports tcp/smtp und
udp/smtp auf Host koean. Im Logging sieht man z.B., daß irgendein Client
Process auf dem Host ast.vs.dasa.de über den Client Port 35306 arbeitet.
Jetzt klicker, klacker einloggen auf ast.vs.dasa.de und:
| koean# less /proc/net/tcp
zeigt einen Eintrag:
| sl local_address rem_address ... uid timeout inode
| nr: xxxxxxxx:89EA xxxxxxxx:0019 65534 0 174
... was einem immerhin schon mal sagt, das Nutzer 65534 (hier nobody) der
Übeltäter ist. Jetzt noch ein:
| koean# ps aux | grep nobody
und man erhält eine Liste potentieller Kandidaten! Das eben von Alexander
Wiedeck vorgeschlagene lsof geht, glaube ich, nur für filebasierte Sockets
- oder (Bitte nicht mit RTFM antworten, sondern Lösungen posten!)?
Ciao Andreas
--
Windows NT indeed has very low Total Cost of Ownership. Trouble is,
Microsoft _owns_ Windows NT. You just licensed it.
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 762
Reply to: