PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mein Server mach UDP Attacken ...



Seiten : [1] 2

tschiffler
27.12.04, 20:35
Hi

Irgendwie hat es jemand auf meinem Server geschafft ein Script einzubauen, was nun andere per UDP-Attacken zubombt.

******* sache das.

Der Server ist inzwischen in nem Rescue-Mode, der Zugriff erfolgte nicht über eine Shell sondern wohl über die PHP-Sicherheitslücke.

Kann mir eine sagen, wie ich das Script finde ?
Die PHP-Version habe ich bereits upgedatet, selbstverständlich hat das nix gebraucht

In der top-liste ist nix aussergewöhnliches zu finden.

Wer hilft mir ?

Gruß Thomas

Tomek
27.12.04, 20:40
Wie hast du denn festgestellt, dass dein Server UDP-Attacken ausführt?

tschiffler
27.12.04, 20:42
er wurde erst langsam wie die sau
dann habe ich mir mal mit iptraf angeschaut was er macht ...

gibt es hier vielleicht jemand, der das gegen bezahlung schnell in ordnung bringen kann (direkt ?)

Tomek
27.12.04, 20:48
Setze doch eben eine iptables-Regel, z.B.:

iptables -A OUTPUT -o eth0 -p UDP -j DROP

tschiffler
27.12.04, 20:57
das kann aber doch nicht die mutter der weisheiten sein :)
ich meine, so als andauernde lösung ist das etwas schwach, oder *g*

tschiffler
27.12.04, 21:09
Hi

Argl, das hilft nicht ...
Nun macht er das spiel eigenartiger Weise weiter (zumindest bekomme ich es weiter per IPTRAF genannt)

Ich dreh noch druch

Thomas

Tomek
27.12.04, 21:10
Hift aber erstmal Traffic zu sparen und die anderen Server zu schonen. Es gibt genügend Tools um herauszufinden welches Programm den Traffic erzeugt:
ps auxf
iptaf
netstat
usw.

Das sollte jeder Server-Administrator eigentlich können...

tschiffler
27.12.04, 21:17
Jaja ich weiss ... jeder richtige Linuxadmin :)
Ich bin aber doch gerade am "üben" damit und dann gleich sowas ...

ich dreh hier noch durch, wollte doch nur windows den rücken kehren ...
:)

durch die von Dir angegebenen Tools bin ich auch nicht schlauer geworden, da ist nix, was ich nicht drin vermutet hätte (zumindest glaube ich das)

hier mal das Ergebnis vom netstat

Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 1792 /var/lib/named/dev/log
unix 2 [ ] DGRAM 1793 /var/lib/ntp/dev/log
unix 18 [ ] DGRAM 1790 /dev/log
unix 3 [ ] STREAM CONNECTED 19359 private/rewrite
unix 3 [ ] STREAM CONNECTED 19358
unix 3 [ ] STREAM CONNECTED 19357 private/rewrite
unix 3 [ ] STREAM CONNECTED 19356
unix 2 [ ] DGRAM 19341
unix 2 [ ] DGRAM 19318
unix 3 [ ] STREAM CONNECTED 19267
unix 3 [ ] STREAM CONNECTED 19266
unix 2 [ ] DGRAM 19021
unix 2 [ ] DGRAM 18985
unix 3 [ ] STREAM CONNECTED 18999 private/rewrite
unix 3 [ ] STREAM CONNECTED 18984
unix 2 [ ] DGRAM 18969
unix 3 [ ] STREAM CONNECTED 18983 private/anvil
unix 3 [ ] STREAM CONNECTED 18968
unix 2 [ ] DGRAM 18942
unix 2 [ ] DGRAM 18929
unix 2 [ ] DGRAM 4950
unix 2 [ ] DGRAM 4615
unix 3 [ ] STREAM CONNECTED 4564
unix 3 [ ] STREAM CONNECTED 4563
unix 2 [ ] DGRAM 3442
unix 2 [ ] DGRAM 3222
unix 2 [ ] DGRAM 3216
unix 3 [ ] STREAM CONNECTED 3209
unix 3 [ ] STREAM CONNECTED 3208
unix 3 [ ] STREAM CONNECTED 3206
unix 3 [ ] STREAM CONNECTED 3205
unix 3 [ ] STREAM CONNECTED 3203
unix 3 [ ] STREAM CONNECTED 3202
unix 3 [ ] STREAM CONNECTED 3200
unix 3 [ ] STREAM CONNECTED 3199
unix 3 [ ] STREAM CONNECTED 3197
unix 3 [ ] STREAM CONNECTED 3196
unix 3 [ ] STREAM CONNECTED 3194
unix 3 [ ] STREAM CONNECTED 3193
unix 3 [ ] STREAM CONNECTED 3191
unix 3 [ ] STREAM CONNECTED 3190
unix 3 [ ] STREAM CONNECTED 3188
unix 3 [ ] STREAM CONNECTED 3187
unix 3 [ ] STREAM CONNECTED 3185
unix 3 [ ] STREAM CONNECTED 3184
unix 3 [ ] STREAM CONNECTED 3182
unix 3 [ ] STREAM CONNECTED 3181
unix 3 [ ] STREAM CONNECTED 3179
unix 3 [ ] STREAM CONNECTED 3178
unix 3 [ ] STREAM CONNECTED 3176
unix 3 [ ] STREAM CONNECTED 3175
unix 3 [ ] STREAM CONNECTED 3173
unix 3 [ ] STREAM CONNECTED 3172
unix 3 [ ] STREAM CONNECTED 3170
unix 3 [ ] STREAM CONNECTED 3169
unix 3 [ ] STREAM CONNECTED 3167
unix 3 [ ] STREAM CONNECTED 3166
unix 3 [ ] STREAM CONNECTED 3164
unix 3 [ ] STREAM CONNECTED 3163
unix 3 [ ] STREAM CONNECTED 3161
unix 3 [ ] STREAM CONNECTED 3160
unix 3 [ ] STREAM CONNECTED 3158
unix 3 [ ] STREAM CONNECTED 3157
unix 3 [ ] STREAM CONNECTED 3155
unix 3 [ ] STREAM CONNECTED 3154
unix 3 [ ] STREAM CONNECTED 3152
unix 3 [ ] STREAM CONNECTED 3151
unix 3 [ ] STREAM CONNECTED 3149
unix 3 [ ] STREAM CONNECTED 3148
unix 3 [ ] STREAM CONNECTED 3146
unix 3 [ ] STREAM CONNECTED 3145
unix 3 [ ] STREAM CONNECTED 3144
unix 3 [ ] STREAM CONNECTED 3143
unix 3 [ ] STREAM CONNECTED 3141
unix 3 [ ] STREAM CONNECTED 3140
unix 3 [ ] STREAM CONNECTED 3072
unix 3 [ ] STREAM CONNECTED 3071
unix 3 [ ] STREAM CONNECTED 3068
unix 3 [ ] STREAM CONNECTED 3067
unix 2 [ ] DGRAM 3054
unix 2 [ ] DGRAM 2940
unix 2 [ ] DGRAM 2752
unix 2 [ ] DGRAM 2692


und hier das von ps



USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 588 240 ? S 20:38 0:00 init [3]
root 2 0.0 0.0 0 0 ? S 20:38 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN 20:38 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S< 20:38 0:00 [events/0]
root 5 0.0 0.0 0 0 ? S< 20:38 0:00 \_ [khelper]
root 6 0.0 0.0 0 0 ? S< 20:38 0:00 \_ [kblockd/0]
root 7 0.0 0.0 0 0 ? S 20:38 0:00 \_ [pdflush]
root 8 0.0 0.0 0 0 ? S 20:38 0:00 \_ [pdflush]
root 10 0.0 0.0 0 0 ? S< 20:38 0:00 \_ [aio/0]
root 11 0.0 0.0 0 0 ? S< 20:38 0:00 \_ [xfslogd/0]
root 12 0.0 0.0 0 0 ? S< 20:38 0:00 \_ [xfsdatad/0]
root 9 0.0 0.0 0 0 ? S 20:38 0:00 [kswapd0]
root 13 0.0 0.0 0 0 ? S 20:38 0:00 [xfsbufd]
root 14 0.0 0.0 0 0 ? S 20:38 0:00 [kseriod]
root 15 0.0 0.0 0 0 ? S 20:38 0:00 [kjournald]
root 112 0.0 0.0 0 0 ? S 20:38 0:00 [xfssyncd]
root 113 0.0 0.0 0 0 ? S 20:38 0:00 [xfssyncd]
root 114 0.0 0.0 0 0 ? S 20:38 0:00 [xfssyncd]
root 809 0.0 0.2 1404 556 ? Ss 20:38 0:00 /sbin/dhcpcd -d -
root 888 0.0 0.2 1436 604 ? Ss 20:38 0:00 /sbin/syslogd -a
root 891 0.0 0.6 2388 1628 ? Ss 20:38 0:00 /sbin/klogd -c 1
root 942 0.0 0.1 1400 480 ? Ss 20:39 0:00 /sbin/resmgrd
root 1018 0.0 0.4 2316 1108 ? S 20:39 0:00 /bin/sh /usr/bin/
mysql 1085 0.0 2.0 22996 5136 ? S 20:39 0:00 \_ /usr/sbin/mys
root 1023 0.0 0.7 4640 1756 ? Ss 20:39 0:00 /usr/sbin/sshd -o
root 1581 0.0 0.8 7668 2212 ? Ss 20:44 0:00 \_ sshd: tschiff
tschiff 1591 0.0 0.9 7844 2340 ? S 20:44 0:01 | \_ sshd: tsc
tschiff 1592 0.0 0.6 2724 1672 pts/1 Ss 20:44 0:00 | \_ -bash
root 1613 0.0 0.4 2588 1220 pts/1 S 20:45 0:00 | \_ s
root 1614 0.0 0.7 2860 1744 pts/1 S 20:45 0:00 |
root 1704 0.0 0.3 1760 896 pts/1 T 20:47 0:00 |
root 11286 0.1 0.3 1824 892 pts/1 S+ 21:15 0:00 |
root 11292 0.0 0.8 7668 2208 ? Ss 21:16 0:00 \_ sshd: tschiff
tschiff 11295 0.1 0.9 7848 2348 ? S 21:16 0:00 \_ sshd: tsc
tschiff 11296 0.0 0.6 2724 1672 pts/0 Ss 21:16 0:00 \_ -bash
root 11317 0.0 0.4 2588 1220 pts/0 S 21:16 0:00 \_ s
root 11318 0.0 0.6 2728 1692 pts/0 S 21:16 0:00
root 11439 0.0 0.2 2156 688 pts/0 R+ 21:20 0:00
root 1115 0.0 0.1 1412 424 ? S 20:39 0:00 [hwscand]
root 1239 0.0 0.3 2048 900 ? Ss 20:39 0:00 /usr/sbin/xinetd
ntp 1308 0.0 1.0 2696 2696 ? SLs 20:39 0:00 /usr/sbin/ntpd -p
root 1360 0.0 0.5 4108 1384 ? Ss 20:39 0:00 /usr/lib/postfix/
postfix 1373 0.0 0.5 4152 1372 ? S 20:39 0:00 \_ pickup -l -t
postfix 1374 0.0 0.5 4184 1456 ? S 20:39 0:00 \_ qmgr -l -t fi
postfix 11246 0.0 0.5 4148 1356 ? S 21:14 0:00 \_ anvil -l -t u
postfix 11432 0.1 1.0 5720 2512 ? S 21:19 0:00 \_ smtpd -n smtp
postfix 11433 0.0 0.5 4140 1348 ? S 21:19 0:00 \_ proxymap -t u
root 1440 0.0 0.2 1584 708 ? Ss 20:39 0:00 /usr/sbin/cron
root 1443 0.0 0.3 42624 776 ? Ss 20:39 0:00 /usr/sbin/nscd
root 1452 0.0 0.2 1376 520 tty1 Ss+ 20:39 0:00 /sbin/mingetty --
root 1453 0.0 0.2 1376 520 tty2 Ss+ 20:39 0:00 /sbin/mingetty tt
root 1454 0.0 0.2 1372 500 ttyS0 Ss+ 20:39 0:00 /sbin/agetty -L t
spamd 1696 0.0 9.8 27132 24368 ? Ss 20:46 0:01 /usr/sbin/spamd -


kannst du da was erkennen was da nicht reingehört ?

Thomas

Tomek
28.12.04, 08:21
Die Ausgabe von "ps aux" ist auf der rechten Seite abgeschnitten...

Mache mal folgendes:

ps auxfwww
netstat -plunt

Bei iptraf wird außerdem doch angezeigt von welchem Port zu welchem Port verbindet wird.

echo
28.12.04, 08:26
hi,
boote mal von deinen installations-medium und überprüfe zuerst die befehle
ls
ps
netstat
auf ihrer richtige grösser...
nicht das der angreiffer diese ausgetauscht hat und dir einige sachen möglicherweise verbergt.

auch wäre der kernel zu prüfen, da es auch möglich ist, das man dir einen anderen kerlen oder nur module ausgetauscht hat, die einem vieles verbergen.


hier noch was zum schmöckern:
http://www.chkrootkit.org/
http://de.wikipedia.org/wiki/Rootkit

bla!zilla
28.12.04, 08:55
Besser nicht die Größe, sondern die MD5 Summe als Vergleich nehmen. :)

tschiffler
28.12.04, 10:17
Hi

Nun habe ich den Server neu aufgesetzt und mein Backup wieder eingespielt (alle HTML-Dateien + die Datenbanken)
Und das spiel geht direkt wieder von vorne los ...

Hier das erste Result:



a15167466:/usr/local/src # ps auxfwww
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 588 240 ? S 09:59 0:00 init [3]
root 113 0.0 0.0 0 0 ? S 08:48 0:00 [xfssyncd]
root 114 0.0 0.0 0 0 ? S 08:48 0:00 [xfssyncd]
root 115 0.0 0.0 0 0 ? S 08:48 0:00 [xfssyncd]
root 699 0.0 0.2 1404 556 ? Ss 08:48 0:00 /sbin/dhcpcd -d -N -Y -t 999999 eth0
root 819 0.0 0.2 1436 604 ? Ss 08:48 0:00 /sbin/syslogd -a /var/lib/named/dev/log -a /var/lib/ntp/dev/log
root 822 0.0 0.6 2400 1612 ? Ss 08:48 0:00 /sbin/klogd -c 1 -2
root 848 0.0 0.5 4364 1420 ? Ss 08:48 0:00 /usr/sbin/saslauthd -a pam
root 849 0.0 0.5 4364 1424 ? S 08:48 0:00 \_ /usr/sbin/saslauthd -a pam
root 850 0.0 0.5 4364 1420 ? S 08:48 0:00 \_ /usr/sbin/saslauthd -a pam
root 851 0.0 0.5 4364 1420 ? S 08:48 0:00 \_ /usr/sbin/saslauthd -a pam
root 852 0.0 0.5 4364 1420 ? S 08:48 0:00 \_ /usr/sbin/saslauthd -a pam
root 981 0.0 0.7 4640 1756 ? Ss 08:48 0:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root 25899 0.1 0.9 7852 2312 ? Ss 09:59 0:01 \_ sshd: root@pts/0
root 25903 0.0 0.6 2660 1656 pts/0 Ss 09:59 0:00 \_ -bash
root 27434 0.0 0.2 2156 684 pts/0 R+ 10:15 0:00 \_ ps auxfwww
root 1043 0.0 0.1 1412 424 ? S 08:48 0:00 [hwscand]
root 1173 0.0 0.3 2048 900 ? Ss 08:48 0:00 /usr/sbin/xinetd
ntp 1244 0.0 1.0 2696 2696 ? SLs 08:48 0:00 /usr/sbin/ntpd -p /var/lib/ntp/var/run/ntp/ntpd.pid -u ntp -i /var/lib/ntp
root 1296 0.0 0.5 4108 1400 ? Ss 08:48 0:00 /usr/lib/postfix/master
postfix 26980 0.0 0.5 4152 1396 ? S 10:07 0:00 \_ pickup -l -t fifo -u
postfix 26981 0.0 0.5 4184 1468 ? S 10:07 0:00 \_ qmgr -l -t fifo -u
root 1371 0.0 0.2 1584 712 ? Ss 08:48 0:00 /usr/sbin/cron
root 1373 0.0 0.3 42624 784 ? Ss 08:48 0:00 /usr/sbin/nscd
root 1382 0.0 0.2 1376 520 tty1 Ss+ 08:48 0:00 /sbin/mingetty --noclear tty1
root 1383 0.0 0.2 1376 520 tty2 Ss+ 08:48 0:00 /sbin/mingetty tty2
spamd 24152 0.0 9.7 26868 24252 ? Ss 09:28 0:01 /usr/sbin/spamd -x -q -d -a -u spamd -H /var/lib/spamd
root 2 0.0 0.0 0 0 ? S 09:59 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN 09:59 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S< 09:59 0:00 [events/0]
root 2109 0.1 0.0 0 0 ? S 09:01 0:05 \_ [pdflush]
root 23447 0.0 0.0 0 0 ? S 09:08 0:03 \_ [pdflush]
root 5 0.0 0.0 0 0 ? S< 09:59 0:00 \_ [khelper]
root 6 0.1 0.0 0 0 ? S< 09:59 0:01 \_ [kblockd/0]
root 10 0.0 0.0 0 0 ? S< 09:59 0:00 \_ [aio/0]
root 11 0.2 0.0 0 0 ? S< 09:59 0:02 \_ [xfslogd/0]
root 12 0.0 0.0 0 0 ? S< 09:59 0:00 \_ [xfsdatad/0]
root 15 0.0 0.0 0 0 ? S< 09:59 0:00 \_ [ata/0]
root 9 0.6 0.0 0 0 ? S 09:59 0:05 [kswapd0]
root 13 0.0 0.0 0 0 ? S 09:59 0:00 [xfsbufd]
root 14 0.0 0.0 0 0 ? S 09:59 0:00 [kseriod]
root 16 0.0 0.0 0 0 ? S 09:59 0:00 [kjournald]
root 26513 0.0 0.1 1400 420 ? Ss 10:05 0:00 /sbin/resmgrd
root 26570 0.0 0.4 2316 1112 pts/0 S 10:06 0:00 /bin/sh /usr/bin/mysqld_safe --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --socket=/var/lib/mysql/mysql.sock --datadir=/var/lib/mysql
mysql 26606 0.0 1.7 23036 4388 pts/0 S 10:06 0:00 \_ /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --skip-locking --port=3306 --socket=/var/lib/mysql/mysql.sock


und das zweite:


a15167466:/usr/local/src # netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 1173/xinetd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 1173/xinetd
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 24152/spamd
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 1296/master
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1173/xinetd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1296/master
tcp 0 0 :::465 :::* LISTEN 1296/master
tcp 0 0 :::22 :::* LISTEN 981/sshd
tcp 0 0 :::25 :::* LISTEN 1296/master
udp 39744 0 0.0.0.0:68 0.0.0.0:* 699/dhcpcd
udp 0 0 217.160.166.78:123 0.0.0.0:* 1244/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1244/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1244/ntpd
udp 0 0 :::123 :::* 1244/ntpd
a15167466:/usr/local/src #


HILFE

Gruß Thomas

bla!zilla
28.12.04, 10:18
Schalt mal den DHCP ab.

tschiffler
28.12.04, 10:23
Hi

Jo, habe ich getan, bringt aber nix

Die Attacken gehen von meinem auf Port 67 und 68

Hier mal ein Auszug:

│ UDP (328 bytes) from 217.160.131.249:67 to 255.255.255.255:68 on eth0 │
│ UDP (328 bytes) from 217.160.131.250:67 to 255.255.255.255:68 on eth0 │
│ UDP (328 bytes) from 217.160.131.249:67 to 255.255.255.255:68 on eth0 │
│ UDP (328 bytes) from 217.160.131.250:67 to 255.255.255.255:68 on eth0 │
│ UDP (328 bytes) from 217.160.131.249:67 to 255.255.255.255:68 on eth0

Der ChkRootKit bringt das hier:
Checking `bindshell'... INFECTED (PORTS: 465)
das soll aber ein bug sein ...

Gruß Thomas

bla!zilla
28.12.04, 10:33
Ich denke nicht das du das getan hast. Das sind nämlich DHCP Anfragen.... Broadcasts. Er will eine IP haben, und zwar von einem DHCP Server. Und wenn ich dieser Ausgabe hier

root 699 0.0 0.2 1404 556 ? Ss 08:48 0:00 /sbin/dhcpcd -d -N -Y -t 999999 eth0

glauben darf, lauscht der dhcpcd bei dir auf eth0. Sourceport ist Port 67/udp, Destinationport ist 68/udp.

tschiffler
28.12.04, 10:40
Hi

Ich habe mal nen Neustart gemacht, nun bekomme ich per IPTraf diese Ergebnisse:



UDP (72 bytes) from 217.160.166.78:32771 to 217.160.166.251:53 on eth0 │
│ UDP (118 bytes) from 217.160.166.251:53 to 217.160.166.78:32771 on eth0 │
│ UDP (72 bytes) from 217.160.166.78:32771 to 217.160.166.251:53 on eth0 │
│ UDP (118 bytes) from 217.160.166.251:53 to 217.160.166.78:32771 on eth0 │
│ UDP (72 bytes) from 217.160.166.78:32772 to 217.160.166.251:53 on eth0

│ UDP (72 bytes) from 217.160.166.78:32772 to 217.160.166.251:53 on eth0 │
│ UDP (118 bytes) from 217.160.166.251:53 to 217.160.166.78:32772 on eth0 │
│ UDP (72 bytes) from 217.160.166.78:32773 to 217.160.166.251:53 on eth0 │
│ UDP (118 bytes) from 217.160.166.251:53 to 217.160.166.78:32773 on eth0


meine ip ist die 217.160.166.78
demnach macht doch meiner dumm
aber wsa macht da dumm ?

Thomas

bla!zilla
28.12.04, 10:45
Anfragen an einen DNS stellen?

tschiffler
28.12.04, 11:16
Hi

Also, die Anfragen kommen regelmäßig. Es ist ein Web- und Mailserver. Es laufen also ein paar seiten drauf (ca. 50 Domains) und die entsprechenden eMails.

Ich habe bereits nachgefragt welchen Server ich "belästigt" haben soll und auf welchen Ports, hierüber habe ich leider noch keine Rückmeldung.

Ich beobachte nun seit ca. 17 Minuten den IPTRAF und es werden nur UDP-Packete auf die Ports 53, 123, 67, 68 gesendet

Es sieht so aus, als ob die Server immer antworten würden, die senden nämlich immer auf den Port, von welchem mein Server die packete sendet ein rückpacket

Wie gesagt, aber das recht häufig.

Wie bekomme ich raus, ob das "normal" ist ?

Gruß Thomas

bla!zilla
28.12.04, 11:29
Also, gucken ´mer mal:

53/udp ist DNS. Das ist normal das deine Maschine da anfragen stellt. Bei 50 Domains inkl. Mail ist das auch IMHO normal.

123/udp ist NTP Time. Dein Server holt sich via NTP die Zeit. Fraglich, das kannst nur du wissen, wie oft er das macht. Minütlich, stündlich, täglich.... keine Ahnung. Ist IMHO auch normal.

67/udp und 68/udp sind für DHCP. Dein Client stellt von Port 67/udp eine Anfrage via Broadcast an 68/udp. Der Server antwortet dann zielgerichtet auf deine IP und Port 67/udp. Das ist bei einem Server nicht normal. Dein Server sollte keine DHCP Anfragen stellen, das solltest du ihm abgewöhnen. Und bei dir läuft ein DHCP-Client (dhcpcd), das habe ich schon gesehen.

enricoj
28.12.04, 11:36
ich habe mir mal die /etc/services angesehen und da stand folgendes:

domain 53/udp #Domain Name Server
bootps 67/udp dhcps #Bootstrap Protocol Server
bootpc 68/udp dhcpc #Bootstrap Protocol Client
ntp 123/udp #Network Time Protocol


und damit sollte doch dein problem gelöst sein. oder?

alle nicht benötigten dieste stoppen und der traffic wird sich reduzieren.

greetz

tschiffler
28.12.04, 11:37
Hi

Ok, der ist von Alturo (da ist der Server angemietet) so als DHCP-Client konfiguriert worden.

Ich werde dann die Konfiguratino mal ändern und ihm die feste IP geben ?

Gruß Thomas

bla!zilla
28.12.04, 11:40
Wenn das mit der festen IP geht. Ich kenne deinen Hoster nicht, aber das solltest du mit dem Support klären. Es wäre durchaus denkbar das der Hoster für die von ihm bereitgestellten Server im DHCP eine Reservierung pflegt. Dein Server holt sich zwar dann seine IP per DHCP, bekommt aber aufgrund der Reservierung (auf die MAC Adresse) immer die gleiche IP.

tschiffler
28.12.04, 11:42
jo, ich habe ne feste ip :)
das ist schon so richitg

bla!zilla
28.12.04, 11:43
Wenn du eine feste IP hast, warum läuft dann auf eth0 ein DHCP-Client?

tschiffler
28.12.04, 12:01
weil der standardgemäß von alturo so eingerichtet wurde
war auch schon bei der ersten installation direkt so, da habe ich es allerdings so gelassen

bla!zilla
28.12.04, 12:09
Hä? Hat der Server nun seine IP per DHCP bekommen, hast du direkt eine feste eingetragen oder hat der Server seine feste IP mittels DHCP bekommen?

tschiffler
28.12.04, 12:12
Der server hat mittels dhcp eine feste ip zugewiesen bekommen !

Tomek
28.12.04, 12:26
Der server hat mittels dhcp eine feste ip zugewiesen bekommen !
:ugly:

Mehr fällt mir dazu nicht ein..

tschiffler
28.12.04, 12:30
schon klar, entspricht nicht der funktion / grundidee eines dhcps ...
wurde aber nciht von mir so vorgenommen, sondern alturo macht das bei allen servern so, die die ausliefern(Alturo = billigmarke von 1&1 / Schlund)

bla!zilla
28.12.04, 12:39
Ist ja auch okay. So können sie an einer zentralen Stelle schnell IPs ändern und müssen nur auf den release des Servers warten. Ist schon okay so.