Welches Programm verschickt Pakete?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Welches Programm verschickt Pakete?

Beitrag von fraatz » 05.08.2004 14:38:28

Hallo!
Ich habe gestern einen neuen Rechner mit Sarge aufgesetzt. Heute kam ein Anruf vom Rechenzentrum, dass dieser Rechner die ganze Zeit Pakete an alle möglichen Rechner in unserer Domäne verschickt.

WIe kann ich rausfinden, welcher Dienst das ist / wie ich das unterbinden kann?
Hab schon hier im Forum gesucht, aber leider keine Lösung gefunden.
Iptraf zeigt mir die Pakete aucgh an, aber nicht den Verursacher...

Wie immer herzl. Dank für eure Hilfe...bald ist Wochenende....

Frank

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 14:54:27

also root:

netstat -ap

... sollten es zuviele sein und er ewig für die Namensauflösung braucht, dann kannst du noch "n" für numeric angeben.. dann kriegst du zwar "nur" noch die ip-adressen gesagt und nur noch die PID statt dem Namen des Programms, aber das kannst du ja mittels

ps ax

dann nachprüfen..

mfg Savar
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 15:30:15

Das RZ sollte dann aber auch so freundlich sein, Dir zu sagen, was das für Pakete sind (Welcher Port, TCP oder UDP usw.)...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Beitrag von fraatz » 05.08.2004 15:53:15

Erstmal danke für die schnellen Antworten!
Iptraf zeigt mir scho an, dass es sich um UDP- Pakete handelt.

Mit netstat -ap kriege ich

Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:time *:* LISTEN 964/inetd
tcp 0 0 localhost.localdoma:711 *:* LISTEN 959/famd
tcp 0 0 *:discard *:* LISTEN 964/inetd
tcp 0 0 *:daytime *:* LISTEN 964/inetd
tcp 0 0 *:sunrpc *:* LISTEN 698/portmap
tcp 0 0 *:ipp *:* LISTEN 911/cupsd
tcp 0 0 localhost.localdom:smtp *:* LISTEN 954/exim4
udp 0 0 *:discard *:* 964/inetd
udp 0 0 *:sunrpc *:* 698/portmap
udp 0 0 *:ipp *:* 911/cupsd
Aktive Sockets in der UNIX Domäne (Server und stehende Verbindungen)
Proto RefZäh Flaggen Typ Zustand I-Node PID/Program name Pfad
unix 2 [ ACC ] STREAM HÖRT 1345 1030/Xprt /tmp/.X11-unix/X64
unix 2 [ ACC ] STREAM HÖRT 1458 1127/X /tmp/.X11-unix/X0
unix 4 [ ] DGRAM 1011 901/syslogd /dev/log
unix 2 [ ACC ] STREAM HÖRT 2123 1299/kdeinit: Runni /tmp/ksocket-root/kdeinit__0
unix 2 [ ACC ] STREAM HÖRT 2125 1299/kdeinit: Runni /tmp/ksocket-root/kdeinit-:0
unix 2 [ ACC ] STREAM HÖRT 2131 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 2 [ ACC ] STREAM HÖRT 2150 1304/kdeinit: klaun /tmp/ksocket-root/klauncherjV2TUb.slave-socket
unix 2 [ ACC ] STREAM HÖRT 2444 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 2 [ ACC ] STREAM HÖRT 2238 1320/artsd /tmp/mcop-root/bp-pukeko_biologie_uni-osnabrueck_de-0528-4112383f
unix 3 [ ] STREAM VERBUNDEN 5647 1304/kdeinit: klaun /tmp/ksocket-root/klauncherjV2TUb.slave-socket
unix 3 [ ] STREAM VERBUNDEN 5642 1367/konquerorQ04sg
unix 3 [ ] STREAM VERBUNDEN 4196 1375/ispell
unix 3 [ ] STREAM VERBUNDEN 4195 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 4194 1375/ispell
unix 3 [ ] STREAM VERBUNDEN 4193 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 4192 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 4191 1375/ispell
unix 3 [ ] STREAM VERBUNDEN 3398 1304/kdeinit: klaun /tmp/ksocket-root/klauncherjV2TUb.slave-socket
unix 3 [ ] STREAM VERBUNDEN 3397 1340/kdesktopDhIiaa
unix 3 [ ] STREAM VERBUNDEN 3347 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 3346 1367/konquerorQ04sg
unix 3 [ ] STREAM VERBUNDEN 3308 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 3307 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 3300 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 3299 1307/kdeinit: kded
unix 3 [ ] STREAM VERBUNDEN 3242 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 3241 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 3237 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 3236 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 3235 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 3234 1355/kdeinit: konqu
unix 3 [ ] STREAM VERBUNDEN 2650 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2649 1348/korgac
unix 3 [ ] STREAM VERBUNDEN 2648 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2647 1347/kdeinit: konso
unix 3 [ ] STREAM VERBUNDEN 2643 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2642 1347/kdeinit: konso
unix 3 [ ] STREAM VERBUNDEN 2640 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2639 1348/korgac
unix 3 [ ] STREAM VERBUNDEN 2635 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2634 1347/kdeinit: konso
unix 3 [ ] STREAM VERBUNDEN 2632 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2631 1348/korgac
unix 3 [ ] STREAM VERBUNDEN 2621 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2620 1304/kdeinit: klaun
unix 3 [ ] STREAM VERBUNDEN 2614 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2613 1343/kdeinit: klipp
unix 3 [ ] STREAM VERBUNDEN 2603 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2602 1343/kdeinit: klipp
unix 3 [ ] STREAM VERBUNDEN 2601 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2600 1343/kdeinit: klipp
unix 3 [ ] STREAM VERBUNDEN 2589 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2588 1339/kdeinit: kicke
unix 3 [ ] STREAM VERBUNDEN 2572 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2571 1339/kdeinit: kicke
unix 3 [ ] STREAM VERBUNDEN 2567 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2566 1339/kdeinit: kicke
unix 3 [ ] STREAM VERBUNDEN 2554 959/famd /tmp/.fam8r0IYZ
unix 3 [ ] STREAM VERBUNDEN 2553 1333/kdeinit: kdesk
unix 3 [ ] STREAM VERBUNDEN 2493 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2492 1333/kdeinit: kdesk
unix 3 [ ] STREAM VERBUNDEN 2485 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2484 1332/kdeinit: khotk
unix 3 [ ] STREAM VERBUNDEN 2481 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2480 1333/kdeinit: kdesk
unix 3 [ ] STREAM VERBUNDEN 2479 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2478 1333/kdeinit: kdesk
unix 3 [ ] STREAM VERBUNDEN 2474 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2473 1332/kdeinit: khotk
unix 3 [ ] STREAM VERBUNDEN 2472 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2471 1332/kdeinit: khotk
unix 3 [ ] STREAM VERBUNDEN 2460 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2459 1328/kdeinit: kwin
unix 3 [ ] STREAM VERBUNDEN 2458 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2457 1328/kdeinit: kwin
unix 3 [ ] STREAM VERBUNDEN 2451 1327/kdeinit: ksmse /tmp/.ICE-unix/1327
unix 3 [ ] STREAM VERBUNDEN 2450 1328/kdeinit: kwin
unix 3 [ ] STREAM VERBUNDEN 2449 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2448 1328/kdeinit: kwin
unix 3 [ ] STREAM VERBUNDEN 2443 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2442 1327/kdeinit: ksmse
unix 3 [ ] STREAM VERBUNDEN 2439 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2438 1327/kdeinit: ksmse
unix 3 [ ] STREAM VERBUNDEN 2432 1327/kdeinit: ksmse /tmp/ksocket-root/kdeinit__0
unix 3 [ ] STREAM VERBUNDEN 2431 1325/kwrapper
unix 3 [ ] STREAM VERBUNDEN 2428 1320/artsd /tmp/mcop-root/bp-pukeko_biologie_uni-osnabrueck_de-0528-4112383f
unix 3 [ ] STREAM VERBUNDEN 2427 1324/kdeinit: knoti
unix 3 [ ] STREAM VERBUNDEN 2258 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2257 1324/kdeinit: knoti
unix 3 [ ] STREAM VERBUNDEN 2256 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2255 1324/kdeinit: knoti
unix 3 [ ] STREAM VERBUNDEN 2187 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2186 1299/kdeinit: Runni
unix 3 [ ] STREAM VERBUNDEN 2183 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2182 1307/kdeinit: kded
unix 3 [ ] STREAM VERBUNDEN 2172 959/famd /tmp/.famlEs4P6
unix 3 [ ] STREAM VERBUNDEN 2171 1307/kdeinit: kded
unix 3 [ ] STREAM VERBUNDEN 2160 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 2159 1307/kdeinit: kded
unix 3 [ ] STREAM VERBUNDEN 2158 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2157 1307/kdeinit: kded
unix 3 [ ] STREAM VERBUNDEN 2146 1302/kdeinit: dcops /tmp/.ICE-unix/dcop1302-1091713083
unix 3 [ ] STREAM VERBUNDEN 2145 1304/kdeinit: klaun
unix 3 [ ] STREAM VERBUNDEN 2141 1304/kdeinit: klaun
unix 3 [ ] STREAM VERBUNDEN 2140 1299/kdeinit: Runni
unix 2 [ ] DGRAM 1502 1129/-:0
unix 3 [ ] STREAM VERBUNDEN 1473 1127/X /tmp/.X11-unix/X0
unix 3 [ ] STREAM VERBUNDEN 1463 1129/-:0
unix 2 [ ] DGRAM 1046 904/klogd

angezeigt, werde daraus aber nicht so recht schlau. Könnt Ihr da den Übeltäter rausfinden?

udp 0 0 *:discard *:* 964/inetd
udp 0 0 *:sunrpc *:* 698/portmap
udp 0 0 *:ipp *:* 911/cupsd

sind es nicht, die hab ich schon gekillt.





Frank

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 15:55:26

Ich würde auf CUPS tippen, der versucht u.U. mit Broadcast andere Server zu finden. "/etc/init.d/cupsys stop"

Du hast nicht zufällig "lisa" laufen?

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 16:08:32

@pdreker: what the f*** is "lisa" ??

rein interessehalber mal.
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 16:15:14

LiSA sammelt alle möglichen im lokalen LAN verfügbaren Netzwerkdienste auf (Samba, FTP, HTTP, SSH, ...) und stellt ein Interface dazu zur Verfügung. In Konqueror kann man dann z.B. einfach "lan:/" als URL angeben, und bekommt alle Rechner angezeigt, die irgendwelche Ressourcen anbieten...

"apt-cache show lisa"

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 16:23:35

@pdreker:

danke.. klingt ja recht interessant..

btw: hatte versucht dir jabber-messages zu schicken.. aber kriege immer irgendein Server Timeout.. ??
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
suntsu
Beiträge: 2947
Registriert: 03.05.2002 10:45:12
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: schweiz
Kontaktdaten:

Beitrag von suntsu » 05.08.2004 16:46:03

Savar hat geschrieben: btw: hatte versucht dir jabber-messages zu schicken.. aber kriege immer irgendein Server Timeout.. ??
bitte das hier lesen
http://www.debianforum.de/wiki/Debianfo ... tensregeln Punkt 1.7


gruss
manuel

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 18:27:55

@suntsu: Das ist ja kein absolutes IM verbot... Wenn das so wäre, könnte ich den Client ja auch deinstallieren. Ne kurze (:!:) Frage oder einfach ein netter Chat ist OK (wenn ich Zeit habe).

Allerdings: Support gibt es per IM nach wie vor nicht.

@Savar: Manchmal hat amessage.de (Mein Jabber Server) ein wenig Schluckauf (wird von einem Privatmann betrieben)... Aktuell sollte es aber gehen...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 18:34:03

@pdreker:
thx a lot..

war mir schon klar das ich darüber keine Supportanfragen stellen soll/darf/möchte.. wozu sonst das Forum :wink:..

mich hatte nur deine Person interessiert, da ich fasziniert von deinem Wissen war/bin..

@suntsu:

naja.. also danke das mir erstmal unterstellt wird, dass ich supportanfrage verschicken will
und ich habe nun nicht grad nen thread aufgemacht.

wobei ich das wohl hätte tun können, da es ja quasi auch ein Fehler ist, den mir da Psi rausgibt.
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 18:49:40

Savar hat geschrieben:@suntsu:

naja.. also danke das mir erstmal unterstellt wird, dass ich supportanfrage verschicken will
und ich habe nun nicht grad nen thread aufgemacht.
Easy.... Chill....

Wir (oder insbesondere ich...) hatten hier 'mal derbe Probleme mit sowas (siehe hier, daher existiert die Regel 1.7 überhaupt... Daher nicht sauer sein, wenn hier manchmal etwas empfindlich auf sowas reagiert wird...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 19:29:40

@suntsu:

ok nach dem Text von pdreker (lang, lang, sehr lang.. und ich versteh ihn zu 100%) bitte ich um Entschuldigung.

Hatte mich nur missverstanden gefühlt (oh man klingt das egoistisch... argh) da ich bis jetzt irgendwie 150 Positngs gemacht habe (seit dem 30.07.) und eigentlich nur Antworten und keine Fragen geschrieben habe (ob die Antworten nun diesem Forum gerecht werden oder nicht kann/darf/sollte ich nicht beurteilen können).

Aber wie gesagt es ist schon sehr egoistisch zu erwarten, dass das irgendwem auffällt :wink:

Ich lerne in dem Forum hauptsächtlich durch zuschauen oder schaue halt mal per "google" ob ich eine "Antwort" hinkriege.

Hoffe das ist damit geklärt.

@pdreker:

tschuldige... das mit Jabber nervt mich nur, da es etwas ist was NICHT funktioniert.. und ich weiß zum deibel noch a mal nicht wieso.

Tja schade.
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 05.08.2004 19:38:16

Aber wie gesagt es ist schon sehr egoistisch zu erwarten, dass das irgendwem auffällt
Finde ich gar nicht... Nur man achtet da oft nicht so sehr drauf... Eine 4-stellige Zahl fällt da besser auf :mrgreen:

Ich habe genau so angefangen... Du hast sogar noch deutlich mehr Posts als ich in den ersten Tagen, aber ich habe 2 Jahre Vorsprung ;-)

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

Benutzeravatar
suntsu
Beiträge: 2947
Registriert: 03.05.2002 10:45:12
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: schweiz
Kontaktdaten:

Beitrag von suntsu » 05.08.2004 19:46:34

pdreker hat geschrieben: Finde ich gar nicht... Nur man achtet da oft nicht so sehr drauf... Eine 4-stellige Zahl fällt da besser auf :mrgreen:
Patrick
Bald 5 ;)

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 19:48:57

:mrgreen: wow.. danke für die Blumen.. aber wie schon mal woanders gesagt wurde.. es gibt auch leute mir 4 stellen und keiner Ahnung... na ich bemüh mich nicht so zu werden..
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Beitrag von fraatz » 05.08.2004 20:47:05

N' Abend und danke für Deine Antwort, pdreker.

Auf Lisa hab ich auch im erstem moment getippt, der wars aber nicht.
Cups habe ich auch schon gestoppt und das hat nichts gebracht. Im RZ meinten die noch etwas von einem Virus, aber das ist wohl sehr unwahrscheinlich. Wenn das nicht bald aufhört sperren die mir im Büro meine IPs......

Schönen Abend noch, ich geh mal ein kühles Bier geniessen.

Frank

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2004 21:04:09

hmm... vielleicht mal per "ethereal" schauen was nun rausgeht und wohin... vielleicht kommst du damit etwas weiter.. vielleicht ist ja auch einer mit deiner IP unterwegs? kanns mi nicht vorstellen aber naja...
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Beitrag von fraatz » 06.08.2004 10:29:26

Moin!
Mit ethereal kriege ich jede Mege Standart DNS- Querys an alle Rechner in unserer Domäne.....

Ich weiss auch leider einfach nicht, wonach ich suchen muss, da ich von Netzwerkkrams keinen Plan hab.

Euch ein schönes WE
Frank

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 06.08.2004 10:56:37

hmm.. mir fällt jetzt auch keine möglichkeit ein wie man das nun Zeitnah feststellen kann.

du könntest (aber das wird ein zu langer Text) mal die Ausgabe von

Code: Alles auswählen

ps ax
posten und ich weiß zwar nicht wie, aber du könntest ausgehende DNS Anfragen die in eurer Privates Netz gehen, einfach blockieren.

IRGENDWER DER DAS HIER LIEST UND SPONTAN WEIß WIE DAS GEHT???


/edit: ach eine etwas rabiatere Art (aber vielleicht leichter durchzuführen) wäre Ethereal laufen zu lassen und nach und nach alle Deamons zu stoppen und wenns nichzts hilft so nach und nach Programme stoppen oder killen, je nachdem.. aber vorsicht das es kein wichtiger Dienst ist (auch wenn die meistens nicht gekillt werden können)..
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Beitrag von fraatz » 06.08.2004 13:04:13

jo, die service nacheinander abzuschiessen hab ich schon versucht- kein erfog.

vom rz hab ich eben ne email mit deren logs gekriegt:

aus der RZ-Mail:

hh:mm:ss.frac Quell-IP-Adresse.Quellport > Ziel-IP-Adresse.Zielport
--------------------------------------------------------------------
10:15:25.756971 131.173.25.23 > 131.173.0.1: icmp: echo request (DF)
10:15:25.757482 131.173.25.23 > 131.173.0.2: icmp: echo request (DF)
10:15:25.757693 131.173.25.23 > 131.173.0.1: icmp: echo request (DF)
10:15:25.758264 131.173.25.23 > 131.173.0.2: icmp: echo request (DF)
10:15:25.758479 131.173.25.23 > 131.173.0.3: icmp: echo request (DF)
10:15:25.758690 131.173.25.23 > 131.173.0.1: icmp: echo request (DF)
10:15:25.759060 131.173.25.23 > 131.173.0.4: icmp: echo request (DF)
10:15:25.759853 131.173.25.23 > 131.173.0.2: icmp: echo request (DF)
10:15:25.760075 131.173.25.23 > 131.173.0.5: icmp: echo request (DF)
10:15:25.760283 131.173.25.23 > 131.173.0.3: icmp: echo request (DF)
...
10:39:06.357827 131.173.25.23 > 131.173.255.148: icmp: echo request (DF)
10:39:06.358773 131.173.25.23 > 131.173.255.156: icmp: echo request (DF)
10:39:06.360356 131.173.25.23 > 131.173.255.164: icmp: echo request (DF)
10:39:06.363514 131.173.25.23 > 131.173.255.179: icmp: echo request (DF)
10:39:06.363928 131.173.25.23 > 131.173.255.183: icmp: echo request (DF)
10:39:06.367405 131.173.25.23 > 131.173.255.200: icmp: echo request (DF)
10:39:06.369395 131.173.25.23 > 131.173.255.212: icmp: echo request (DF)
10:39:06.369866 131.173.25.23 > 131.173.255.216: icmp: echo request (DF)
10:39:06.371171 131.173.25.23 > 131.173.255.222: icmp: echo request (DF)
10:39:06.373422 131.173.25.23 > 131.173.255.235: icmp: echo request (DF)

131.173.25.23 ist mein rechner. sagt dir das was?

ps ax sagt:

bp-pukeko:~> ps ax
PID TTY STAT TIME COMMAND
1 ? S 0:00 init [2]
2 ? S 0:00 [keventd]
3 ? SN 0:00 [ksoftirqd_CPU0]
4 ? S 0:00 [kswapd]
5 ? S 0:00 [bdflush]
6 ? S 0:00 [kupdated]
105 ? S 0:00 [kjournald]
253 ? S 0:00 [kjournald]
466 ? S 0:00 [khubd]
902 ? Ss 0:00 /sbin/syslogd
905 ? Ss 0:00 /sbin/klogd
965 ? Ss 0:00 /usr/sbin/inetd
1024 ? S 0:00 /bin/bash /etc/rc2.d/S20xprint posix_sh_forced start
1026 ? S 0:00 /bin/bash /etc/rc2.d/S20xprint posix_sh_forced start
1027 ? S 0:00 /bin/bash /etc/rc2.d/S20xprint posix_sh_forced start
1031 ? S 0:02 /usr/bin/Xprt -ac -pn -nolisten tcp -audit 4 -fp /usr
1110 ? Ss 0:00 /usr/sbin/cron
1116 ? Ss 0:00 /usr/bin/kdm
1129 ? S< 1:01 /usr/X11R6/bin/X -nolisten tcp vt7 -auth /var/run/xau
1130 ? S 0:00 -:0
1132 ? S< 0:00 [kapmd]
1143 ? S 0:01 /usr/bin/WindowMaker
1186 ? S 0:00 x-terminal-emulator -T Tcsh -e /usr/bin/tcsh
1187 ? S 0:12 xclock -d -brief -padding 1
1188 ? S 0:15 konqueror
1191 pts/0 Ss 0:00 -usr/bin/tcsh
1192 pts/0 S 0:00 bash
1194 pts/0 S+ 0:00 -csh
1204 ? Ss 0:00 kdeinit: Running...
1207 ? S 0:00 kdeinit: dcopserver --nosid --suicide
1209 ? S 0:00 kdeinit: klauncher
1211 ? S 0:00 kdeinit: kded
1221 ? S 0:00 kdeinit: knotify
1243 ? S 0:02 /usr/bin/artsd -F 10 -S 4096 -s 60 -m artsmessage -l
1244 tty1 Ss+ 0:00 /sbin/getty 38400 tty1
1245 tty2 Ss+ 0:00 /sbin/getty 38400 tty2
1246 tty3 Ss+ 0:00 /sbin/getty 38400 tty3
1247 tty4 Ss+ 0:00 /sbin/getty 38400 tty4
1248 tty5 Ss+ 0:00 /sbin/getty 38400 tty5
1249 tty6 Ss+ 0:00 /sbin/getty 38400 tty6
1252 ? S 0:01 gaim
1253 ? S 0:05 kmail
1255 ? S 0:00 kdeinit: kio_pop3 pop3 /tmp/ksocket-frank/klauncherMj
1261 ? S 0:00 kdeinit: kio_file file /tmp/ksocket-frank/klauncherMj
1262 ? S 0:01 kdeinit: kuickshow -icon kuickshow -miniicon kuicksho
1263 ? S 0:01 kdeinit: kuickshow -icon kuickshow -miniicon kuicksho
1264 ? S 0:24 /usr/lib/mozilla-firefox/firefox-bin -contentLocale e
1322 ? S 0:00 /usr/lib/mozilla-firefox/firefox-bin -contentLocale e
1323 ? S 0:00 /usr/lib/mozilla-firefox/firefox-bin -contentLocale e
1325 ? S 0:00 /usr/lib/gconf2/gconfd-2 20
1327 ? S 0:00 /usr/lib/mozilla-firefox/firefox-bin -contentLocale e
1332 ? S 0:00 x-terminal-emulator
1333 pts/1 Ss 0:00 bash
1334 pts/1 S 0:00 -bin/tcsh
1336 pts/1 R+ 0:01 konsole
1337 pts/3 Ss 0:00 /bin/bash
1338 pts/3 S 0:00 -bin/tcsh
1339 pts/3 R+ 0:00 ps ax

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 06.08.2004 13:19:58

hmm.. leider sagen mir viele nichts..

z.B.:

kio_pop3
kio_file
kuickshow
/usr/bin/artsd

was ist das alles?

Aber was mich ja noch interessieren würde ist, ob du auch vom RZ ne MAC bekommen hast. Also ob es WIRKLICH dein Rechner war und nicht einer der anderen.. ok es ist unwahrscheinlich.. aber grad beim Rechner.. erwarte immer das Unmögliche..

Versuch dochmal in den Runlevel 1 zu starten und dann per ethereal zu checken ob immer noch was kommt..

dann ist es schon ein schwerwiegenderes Problem
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

fraatz
Beiträge: 42
Registriert: 02.03.2003 00:07:08

Beitrag von fraatz » 06.08.2004 13:32:02

kuickshow ist ein bildbetrachter
artsd ist der kde soundserver

warum pingt mein rechner durchgängig alle anderen rechner von 131.173.0.1 bis 131.173.255.255 an? ist doch scheisse....

trotzdem danke für deine hilfe

frank

Benutzeravatar
rotwein
Beiträge: 619
Registriert: 03.06.2003 12:22:51
Wohnort: Altdorf (bei Nürtingen -> bei Stuttgart)

Beitrag von rotwein » 06.08.2004 13:36:33

Dumme Idee von mir, kenn mich mit Netzwerk auch nicht so aus:

Versehentlich DHCP aktiviert, obwohl feste IP und Dein Rechner sucht verzweifelt nach dem DHCP Server

(ganz krude, meine Idee, aber Dein Rechner macht ja auch was krudes)

Gruß und Viel Glück :P wünscht rotwein

Antworten