automatische Verbindug [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : automatische Verbindug

SportyFlo

28.11.02, 10:36

Hi,

an was kann das liegen, dass wenn eine Internetverbindung mit dem Linux Rechner
besteht, ständig Übertragungen stattfinden(minimale Verbindungen 1sec, 0,5 kb/s)
, obwohl ich nicht den Browser geöffnet habe?
In der /var/log/messages bekomme ich folgende Meldung

Nov 28 11:19:15 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=213.6.78.238 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=10110 DF PROTO=TCP SPT=1797 DPT=1214 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Nov 28 11:19:18 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=213.6.78.238 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=10128 DF PROTO=TCP SPT=1797 DPT=1214 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Nov 28 11:19:24 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=213.6.78.238 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=10156 DF PROTO=TCP SPT=1797 DPT=1214 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Nov 28 11:19:25 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.246.220.76 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25653 DF PROTO=TCP SPT=3484 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Nov 28 11:19:28 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.246.220.76 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25675 DF PROTO=TCP SPT=3484 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Nov 28 11:19:34 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.246.220.76 DST=145.254.230.30 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25754 DF PROTO=TCP SPT=3484 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A001010402)

Übrigens, ich habe sendmail und fetchmail installiert, habe aber in der sendmail nodns auf
yes gesetzt.

Danke
Flo

HangLoose

28.11.02, 10:55

moin moin

deine logmeldungen sind von deiner firewall gedropte (abgelehnte) anfragen an deinen rechner. konkret handelt es sich um kaaza (port 1214).

Gruß HL

SportyFlo

28.11.02, 11:14

Heißt das, von außen kommen die Anfragen?
Wie kann ich denn den Port schließen?

Irgend wie muß ich das unterdrücken, denn meine Internetverbindung
soll ja nach 180 sec automatisch trennen. Wenn nun immer diese
kleinen Übertragungen stattfinden, wird nicht beendet.

Flo

HangLoose

28.11.02, 11:23

hi

Heißt das, von außen kommen die Anfragen?
Wie kann ich denn den Port schließen?

ja die anfragen kommen von draussen und der port ist geschlossen. die anfragen werden ja von deiner firewall geblockt. wenn du selbst kein kazaa oder ähnliches laufen hast, wird der vorbesitzer deiner dyn. ip diesen dienst benutzt haben. deshalb kommen die anfragen, denn kazaa kriegt nicht mit das der *besitzer* der ip gewechselt hat.

Irgend wie muß ich das unterdrücken, denn meine Internetverbindung
soll ja nach 180 sec automatisch trennen. Wenn nun immer diese
kleinen Übertragungen stattfinden, wird nicht beendet.

diese anfragen dürften aber nichts mit deinem problem zu tun haben, das die verbindung nicht getrennt wird. woran es aber nun genau liegt, kann ich dir auch nicht sagen. würde aber auch auf sendmail tippen.

Gruß HL

SportyFlo

28.11.02, 11:32

Danke, vielleicht find ich ja noch den Fehler bei sendmail

Flo

HangLoose

28.11.02, 11:40

hi

wenn du rausfinden möchtest ob es an sendmail liegt, mach mal folgendes. auf dem router startest du ngrep und läßt ngrep am port 25 sniffen. wenn ngrep traffic meldet hast du den übeltäter gefunden.

ngrep -qd eth0 port 25

Gruß HangLoose

SportyFlo

28.11.02, 12:06

Hi,

also auf Port 25 gab es keine Übertragung, also liegt´s dann doch nicht an
sendmail.

Ich schau mir die Übertragungen mit IPTraf an, da müssten doch die Ports
dabei stehen.

Flo

SportyFlo

28.11.02, 12:57

Hi,

also unter iptraf bekomme ich die Meldung
62.177.98.143:1025 to 145.254.230.55:137 on ippp0

scheint dann doch der port 1025 zu sein.

Doch weshalb bekomme ich dann immer so eine (geringe)
Übertragung, die dummerweise veranlasst, dass die
180 sec für den Internetabbruch, immer wieder neu
gezählt werden.

Flo

HangLoose

28.11.02, 13:18

moin

also iptraf hab ich noch nicht benutzt.

62.177.98.143:1025 to 145.254.230.55:137 on ippp0

aber für mich sieht das nach einer netbios anfrage an deinen port 137 aus, wenn die 145.254.230.55 deine ip ist.

ps: das könnte ein wurm sein

Gruß HangLoose

SportyFlo

28.11.02, 13:38

Also, die 145.... könnte wirklich meine dynamische IP sein.
Aber das mit dem Wurm, komisch, der Linux Rechner läuft nun seit
4 Tagen und E-Mail öffne ich nur von den Win Clients aus.
Kann ein Wurm, falls einer auf einem Win Client ist, auch
auf den Linux Rechner übertragen werden (sind denn manche
Würmer Win und Linux kompatiebel). Ich habe immer gedacht,
dass es für Linux nicht viele Würmer und Viren gibt.

Sollte ich doch pech haben, kenn jemand ne möglichkeit den
wieder zu beseitigen?

Flo

HangLoose

28.11.02, 13:53

hi

als erstes solltest du mal rausfinden, welche deine ip ist.

ifconfig ippp0

wenn die 145. deine ip ist, sollte diese anfrage von deiner firewall eigentlich gedropt werden. mußt mal in deinen log's nachsehen.

sollte allerdings die 62. deine ip sein, wäre es möglich, das du dir tatsächlich einen wurm eingefangen hast und dieser nun versucht sich *zu verbreiten*

Gruß HangLoose

SportyFlo

28.11.02, 14:17

Also, im Moment habe ich die inet addr: 145 254.229.124.

In der var/log/warn habe ich folgende Meldungen:

Nov 28 15:00:49 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.10.79.153 DST=145.254.230.164 LEN=78 TOS=0x00 PREC=0x00 TTL=117 ID=45738 PROTO=UDP SPT=1031 DPT=137 LEN=58
Nov 28 15:00:56 linux kernel: SuSE-FW-DROP IN=ippp0 OUT= MAC= SRC=61.78.142.3 DST=145.254.230.164 LEN=60 TOS=0x10 PREC=0x00 TTL=43 ID=13277 DF PROTO=TCP SPT=2139 DPT=22 WINDOW=32120 RES=0x00 SYN URGP=0 OPT (020405B40402080A0343EB520000000001030300)

Was soll ich denn jetzt noch tun??

Flo

HangLoose

28.11.02, 14:29

hi

gar nichts ;) wenn es tatsächlich ein wurm war, kann auch nur ein portscan gewesen sein, mußt du gar nichts machen. das ganze wird von deiner firewall geblockt.

Nov 28 15:00:49 linux kernel: SuSE-FW-DROP-DEFAULT IN=ippp0 OUT= MAC= SRC=62.10.79.153 DST=145.254.230.164 LEN=78 TOS=0x00 PREC=0x00 TTL=117 ID=45738 PROTO=UDP SPT=1031 DPT=137 LEN=58

Gruß HangLoose

SportyFlo

28.11.02, 14:38

Ich find´s ja supe, dass alles geblockt wird, nur wieso bekomme ich immer
bei einem Block eine ganz ganz kleine Übertragung in´s Internet, die
eben verhindert das meine Internetverbindung automatisch nach einer
gewissen Zeit beendet wird.

Flo

Hätte ich DSL und eine Flat wär mir das ganz egal.
Doch leider muß ich noch 3 Wochen waren und bis dahin
habe ich keine Flat.

HangLoose

28.11.02, 14:43

hi

ich hoffe ich erzähl jetzt keinen müll. aber eigentlich kann es an den drops nicht liegen, denn dabei werden die pakete ja quasi stillschweigend fallen gelassen.

ich muß allerdings zugeben, das ich mich damit noch nicht beschäftigt habe, da ich eine flat habe und mich deshalb auch nicht drum kümmere ob meine verbindung getrennt wird.

Gruß HangLoose

SportyFlo

28.11.02, 15:00

Naja, als Notlösung wird nun einfach meine Verbindung alle 15 Min. per Crontab
getrennt.

Trotzdem Danke

Grüße Flo

HangLoose

28.11.02, 15:18

hi

sind ja auch nur noch 3 wochen und ich würde da auch nicht noch lange rumfummeln. obwohl es hier glaub ich mal einen thread drüber gab.

Gruß HL