[Debian]:Re: Nameserver Anfragen

To: debian-user-de@jfl.de
Subject: [Debian]:Re: Nameserver Anfragen
From: Andreas Koehler <Andreas.Koehler.Tiscon_AG@vs.dasa.de>
Date: Tue, 1 Feb 2000 08:58:24 +0000 (GMT)
Message-id: <Pine.LNX.4.10.10002010835500.696-100000@koean.vs.dasa.de>
In-reply-to: <20000201000425.D11077@pinguin.conetix.de>

On Tue, 1 Feb 2000, Jens Benecke wrote:

>On Mon, Jan 31, 2000 at 10:59:15AM +0000, Andreas Koehler wrote:
>> On Mon, 31 Jan 2000, Jens Benecke wrote:
>> >seit einiger Zeit habe ich merkwürdige Nameserver-Anfragen auf meiner
>> >Wie bekomme ich raus, welcher Prozess diese Anfragen abschickt?
>> tcpdump ?
>
>Da habe ich nix verdächtiges sehen können. Allerdings werden da auch keine
>Prozesse angezeigt...

Hi,

Du hast natürlich recht, aber ein Herantasten sollte dennoch möglich sein.
Beispiel:

| koean# tcpdump -v 'dst host koean and dst port smtp'
| tcpdump: listening on eth0
| 09:13:01.417801 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: S
|   301568494:301568494(0) win 8760 <mss 1460> (DF) (ttl 254, id 26164)
| 09:13:01.419256 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: .
|   ack 2649327935 win 8760 (DF) (ttl 254, id 26165)
| 09:13:01.500722 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: .
|   ack 93 win 8760 (DF) (ttl 254, id 26170)
...

Geloggt werden damit alle "Verbindungen" an die Ports tcp/smtp und
udp/smtp auf Host koean. Im Logging sieht man z.B., daß irgendein Client
Process auf dem Host ast.vs.dasa.de über den Client Port 35306 arbeitet.

Jetzt klicker, klacker einloggen auf ast.vs.dasa.de und:

| koean# less /proc/net/tcp

zeigt einen Eintrag:
| sl  local_address rem_address   ...   uid  timeout inode
| nr: xxxxxxxx:89EA xxxxxxxx:0019     65534        0 174

... was einem immerhin schon mal sagt, das Nutzer 65534 (hier nobody) der
Übeltäter ist. Jetzt noch ein:

| koean# ps aux | grep nobody

und man erhält eine Liste potentieller Kandidaten! Das eben von Alexander
Wiedeck vorgeschlagene lsof geht, glaube ich, nur für filebasierte Sockets
- oder (Bitte nicht mit RTFM antworten, sondern Lösungen posten!)?

Ciao Andreas
--
Windows NT indeed has very low Total Cost of Ownership. Trouble is,
Microsoft _owns_ Windows NT. You just licensed it.

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     762

Reply to:

Follow-Ups:
- Re: [Debian]:Nameserver Anfragen
  - From: Alexander Wiedeck <alexander.wiedeck@ku-eichstaett.de>

References:
- [Debian]:Re: Nameserver Anfragen
  - From: Jens Benecke <jens@pinguin.conetix.de>

Prev by Date: Re: [Debian]:cdrecord und mixed-mode?
Next by Date: Re: [Debian]:audio cds brennen
Previous by thread: Re: [Debian]:Nameserver Anfragen
Next by thread: Re: [Debian]:Nameserver Anfragen
Index(es):
- Date
- Thread