Re: unerklaerliche FTP-Aktivitaet

To: debian-user-german@lists.debian.org
Subject: Re: unerklaerliche FTP-Aktivitaet
From: Wolfgang Erig <Wolfgang.Erig@gmx.de>
Date: Wed, 5 Feb 2003 23:46:36 +0100
Message-id: <[🔎] 20030205224636.GA780@max>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20030205214049.GI8304@schlittermann.de>
References: <[🔎] 20030205193734.GA6010@max> <[🔎] 20030205214049.GI8304@schlittermann.de>

Hallo Heiko,
On Wed, Feb 05, 2003 at 10:40:49PM +0100, Heiko Schlittermann wrote:
> > 
> > seit heute Nachmittag (5.Feb. 2003) meldet mein wu-ftpd
> > an die 250 Einwählversuche, die meistens etwa so:
> > 
> > Feb  5 20:09:15 max wu-ftpd[5642]: connect from p50839AAB.dip.t-dialin.net
> > Feb  5 20:09:18 max wu-ftpd[5642]: lost connection to p50839AAB.dip.t-dialin.net [80.131.154.171]
> > Feb  5 20:09:18 max wu-ftpd[5642]: FTP session closed
> 
> Ja, und trotzdem fließen aber Daten, was Du mit tcpdump sehen wirst.
> Obwohl die Session beendet zu sein scheint?
> 
> Ich bilde mir ein, sowas schon mal gesehen zu haben.  Ich glaube,
> es gab mal ein Loch (nicht nur eins) im WuFTPd.
> 
> Und in den fließenden Daten fand ich (per ngrep) dann Namen wir ATARI
> und ähnliche Dinge, die auf keinen Zufall deuteten.  Allerdings habe ich
> nie zugehörige Files finden können, es war aber auch nicht allzuviel
> Zeit ...
hm, ich habe mir mit tcpdump so eine Sequenz angeschaut. Bei mir sieht
es nicht so aus, als wenn Daten übertragen würden. Ich habe die
Ausgabe hinten angehängt.
Inzwischen habe ich die Verbindung einmal unterbrochen und neu aufgebaut.
Seitdem ist wieder Ruhe. Anscheinend habe ich mit der IP-Adresse
irgendwelche Aktivitäten von dem Vorbesitzer geerbt. Nur daß dann
etwas über FTP hereinkommt, habe ich noch nicht erlebt. Egal, ich
hoffe mein wu-ftpd hat dicht gehalten. Sooo schlecht kann er doch
auch nicht sein, wenn er so viel benutzt wird,

		Wolfgang


[aus "cat /dev/xconsole"]
Feb  5 22:57:28 max kernel: device ppp0 entered promiscuous mode
Feb  5 22:58:35 max wu-ftpd[8149]: connect from pD9E0A53E.dip.t-dialin.net
Feb  5 22:58:35 max wu-ftpd[8149]: lost connection to pD9E0A53E.dip.t-dialin.net [217.224.165.62]
Feb  5 22:58:35 max wu-ftpd[8149]: FTP session closed
Feb  5 22:58:42 max kernel: device ppp0 left promiscuous mode

[ grep 217.224.165.62 ... ]
22:58:34.982546 217.224.165.62.3090 > 217.238.63.51.ftp: S [tcp sum ok] 308610543:308610543(0) win 16384 <mss 1440,nop,nop,nop,nop> (DF) (ttl 124, id 51463, len 48)
22:58:34.982682 217.238.63.51.ftp > 217.224.165.62.3090: S [tcp sum ok] 2209043051:2209043051(0) ack 308610544 win 5808 <mss 1452> (DF) (ttl 64, id 0, len 44)
22:58:35.161367 217.224.165.62.3090 > 217.238.63.51.ftp: . [tcp sum ok] 1:1(0) ack 1 win 17280 (DF) (ttl 124, id 51470, len 40)
22:58:35.173636 217.224.165.62.3090 > 217.238.63.51.ftp: P 1:69(68) ack 1 win 17280 (DF) (ttl 124, id 51471, len 108)
22:58:35.173712 217.238.63.51.ftp > 217.224.165.62.3090: . [tcp sum ok] 1:1(0) ack 69 win 5808 (DF) (ttl 64, id 58945, len 40)
22:58:35.185893 217.238.63.51.ftp > 217.224.165.62.3090: P 1:91(90) ack 69 win 5808 (DF) [tos 0x10]  (ttl 64, id 58946, len 130)
22:58:35.397392 217.224.165.62.3090 > 217.238.63.51.ftp: R [tcp sum ok] 308610612:308610612(0) win 0 (DF) (ttl 124, id 51480, len 40)

Reply to:

Follow-Ups:
- Re: unerklaerliche FTP-Aktivitaet
  - From: Patrick Schnorbus <patrick.schnorbus@happyhacking.de>
- Re: unerklaerliche FTP-Aktivitaet
  - From: "Daniel Peters" <sir_tuam@web.de>

References:
- unerklaerliche FTP-Aktivitaet
  - From: Wolfgang Erig <Wolfgang.Erig@gmx.de>
- Re: unerklaerliche FTP-Aktivitaet
  - From: Heiko Schlittermann <heiko@schlittermann.de>

Prev by Date: Re: Hat niemand eine Idee? - KDE friert beim Start des Fenstermanagers ein
Next by Date: Re: nachtrag: Re: mysql name und pw vergessen jetzt komm ich nicht mehr rein ...
Previous by thread: Re: unerklaerliche FTP-Aktivitaet
Next by thread: Re: unerklaerliche FTP-Aktivitaet
Index(es):
- Date
- Thread