Hallo, snort zeigt mir an, dass dauernd Connections von 127.0.0.1 src port 80 auf diverse ports der eth0 ip gehen, wie kann ich herausfinden welches Programm/Prozess diese Connections verursacht? `lsof -Pni` zeigt ja nur immer die aktuellen Verbindungen an, und den Zeitpunkt zu treffen wo einer dieser Verbindungen statt findet dürfte auf diesem Weg schwierig werden.
Also wie kann ich dem am besten nachgehen?
MfG

hi

mach mal ein

netstat -tanup

hab da ne vermutung

greez

du hast nicht zufällig ein redhat system?

ich habe die selbe erscheinung allerdings vom lo nach ppp0.
wenn ich mir die pakete mal mit ethereal ansehe ist keine "nutzlast" in den packeten 'drin, sondern nur das ack. flag gesetzt...

ich habe den verdacht, dass das mit dem neuen up2date zusammen hängt.

emba:
`netstat -tanup` zeigt mir doch auch nur den Status an, zu dem Zeitpunkt wann ich den Befehl aufrufe. Jedenfalls sehe ich nichts vom 127.0.0.1:80

Windoofsklicker:
Nein, es ist ein Debian mit 2.4.21er Kernel. Runlevel 3, ein Housing Server.
Also keine "automatische-update" Funktion oder ähnlicher Käse ;)

ich dachte folgendes:

irgendein (minimales) routingprob beeinflusst einen lokal installierten apache, der (auch) auf lo lauscht
und diesen somit zu dieser "erscheinung" bringt

evtl. passiert deine beschreibung immer, wenn du bei bestehender ppp-verb. auf deinen lokalen apache zugreifst?
hast du einen installiert?

greez

Apache läuft, aber nur auf 443, also apache-ssl.
PPP benutze ich garnicht, geht alles über eth0, is ja ein Housig Server, wie gesagt.

Acid meldet folgendes:


#0-(1-4785) url[snort] BAD-TRAFFIC loopback traffic 2003-09-14 19:59:08 127.0.0.1:80 213.*.*.*:1308 TCP
#1-(1-4782) url[snort] BAD-TRAFFIC loopback traffic 2003-09-14 19:57:14 127.0.0.1:80 213.*.*.*:1912 TCP
#2-(1-4781) url[snort] BAD-TRAFFIC loopback traffic 2003-09-14 19:56:42 127.0.0.1:80 213.*.*.*:1152 TCP
#3-(1-4780) url[snort] BAD-TRAFFIC loopback traffic 2003-09-14 19:54:26 127.0.0.1:80 213.*.*.*:1912 TCP

davon ca 4000, stetig steigend. Also ca minütlich, wobei die sec. und die dest Ports immer unterschiedlich sind.
Die ip habe ich mal ersetzt..

Ist keinem eine Möglichkeit bekannt, wie man die Quelle von COnnections herausfinden kann, die nur ab und zu auftreten? Da muss es doch was geben :/

Och man es muss doch einen Weg geben!
Ich habe jetzt schon folgendes probiert:

Tcpdump von 127.0.0.1 port 80 im 'line buffered' Format, stdout in eine Datei umgeleitet, diese Datei per Logsurfer überwacht und, sobals Content kommt ein 'lsof -Pni'. Würde funktionieren, doch leider is der Logsurfer nicht schnell genug, bzw da es sich nur um ein "TCP ACK" handelt die Connection zu schnell wieder vergangen.
Die Tcpdumps sehen so aus:



10:12:30.302739 localhost.www > ak44.1504: R 0:0(0) ack 1503592449 win 0
10:19:49.842686 localhost.www > ak44.1722: R 0:0(0) ack 676331521 win 0
10:23:16.820900 localhost.www > ak44.1152: R 0:0(0) ack 822083585 win 0
10:23:50.237063 localhost.www > ak44.1912: R 0:0(0) ack 801308673 win 0
10:27:06.006160 localhost.www > ak44.1664: R 0:0(0) ack 90046465 win 0
10:34:42.098879 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
10:36:57.514359 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
10:53:23.008993 localhost.www > ak44.1745: R 0:0(0) ack 1379205121 win 0
11:02:41.840337 localhost.www > ak44.1150: R 0:0(0) ack 985268225 win 0
11:09:54.682305 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
11:16:32.697338 localhost.www > ak44.1208: R 0:0(0) ack 524550145 win 0
11:17:48.277248 localhost.www > ak44.1051: R 0:0(0) ack 1014104065 win 0
11:18:42.916462 localhost.www > ak44.1106: R 0:0(0) ack 1980235777 win 0
11:25:36.027798 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
11:26:08.187643 localhost.www > ak44.1250: R 0:0(0) ack 1325268993 win 0
11:29:55.059983 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
11:35:42.398883 localhost.www > ak44.1836: R 0:0(0) ack 1843593217 win 0
11:39:06.297210 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
11:39:12.467169 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
11:40:30.065435 localhost.www > ak44.1795: R 0:0(0) ack 1759772673 win 0
11:47:26.413873 localhost.www > ak44.1978: R 0:0(0) ack 1049165825 win 0
11:49:12.451383 localhost.www > ak44.1150: R 0:0(0) ack 3964928001 win 0
11:49:24.537314 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
11:50:45.846183 localhost.www > ak44.1136: R 0:0(0) ack 158007297 win 0
11:53:16.234274 localhost.www > ak44.1051: R 0:0(0) ack 1 win 0
11:55:28.353342 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
11:56:01.855758 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
11:56:43.665367 localhost.www > ak44.1150: R 0:0(0) ack 3964928001 win 0
11:58:10.395813 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
12:03:22.826236 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
12:04:43.803890 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
12:06:40.751120 localhost.www > ak44.1622: R 0:0(0) ack 6291457 win 0
12:14:01.928869 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
12:23:58.219741 localhost.www > ak44.1308: R 0:0(0) ack 1194655745 win 0
12:31:23.411315 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
12:33:34.011354 localhost.www > ak44.1350: R 0:0(0) ack 1995309057 win 0
12:34:29.244673 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
12:35:19.201843 localhost.www > ak44.1564: R 0:0(0) ack 1567490049 win 0
12:44:11.900677 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
12:44:45.409303 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
12:45:18.901198 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
12:54:33.952515 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
12:56:27.876149 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
12:57:08.608029 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
12:57:40.874516 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:03:32.507752 localhost.www > ak44.1150: R 0:0(0) ack 3964928001 win 0
13:06:59.523398 localhost.www > ak44.1737: R 0:0(0) ack 1173553153 win 0
13:07:38.637036 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
13:13:28.515103 localhost.www > ak44.1622: R 0:0(0) ack 1 win 0
13:16:56.841955 localhost.www > ak44.1208: R 0:0(0) ack 1 win 0
13:17:54.016968 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:18:27.546174 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
13:20:03.172387 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
13:21:36.281066 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
13:22:24.872885 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:23:04.964299 localhost.www > ak44.1151: R 0:0(0) ack 1684144129 win 0
13:24:10.474495 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
13:26:32.597558 localhost.www > ak44.1250: R 0:0(0) ack 1 win 0
13:29:04.424066 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
13:30:20.177244 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:30:56.154889 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
13:33:38.777875 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
13:33:40.043869 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
13:36:01.313995 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
13:36:38.812597 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:40:40.139218 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
13:42:56.094402 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
13:46:00.965468 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
13:59:18.620734 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:06:24.589230 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:08:48.843935 localhost.www > ak44.1350: R 0:0(0) ack 1 win 0
14:10:32.687412 localhost.www > ak44.1564: R 0:0(0) ack 1 win 0
14:11:34.180319 localhost.www > ak44.1990: R 0:0(0) ack 598933505 win 0
14:12:51.475623 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:13:08.892110 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
14:13:24.982595 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:14:33.316466 localhost.www > ak44.1722: R 0:0(0) ack 1 win 0
14:17:42.403289 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:18:15.886194 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:22:44.434957 localhost.www > ak44.1350: R 0:0(0) ack 1 win 0
14:23:07.517403 localhost.www > ak44.1564: R 0:0(0) ack 1 win 0
14:26:24.184513 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
14:28:28.480087 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:29:38.391360 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:30:11.906124 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:31:19.397539 localhost.www > ak44.1822: R 0:0(0) ack 1346371585 win 0
14:32:24.425183 localhost.www > ak44.1737: R 0:0(0) ack 1 win 0
14:34:00.630861 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:34:34.074894 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:35:52.527721 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:35:53.770114 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
14:38:01.068697 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:38:34.570255 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:39:22.917907 localhost.www > ak44.1250: R 0:0(0) ack 1 win 0
14:40:26.729710 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:40:46.920298 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:41:00.398233 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:41:20.627514 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:42:21.852596 localhost.www > ak44.1208: R 0:0(0) ack 1 win 0
14:45:51.306406 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
14:47:30.812753 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:48:04.305284 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:49:03.331351 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
14:49:36.824398 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
14:50:05.078134 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
14:51:56.608816 localhost.www > ak44.1822: R 0:0(0) ack 1 win 0
14:53:01.784281 localhost.www > ak44.1737: R 0:0(0) ack 1 win 0
14:59:22.433349 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
15:04:33.585132 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:05:02.293952 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
15:07:52.102465 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:07:58.357639 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:08:25.059469 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
15:09:07.349741 localhost.www > ak44.1151: R 0:0(0) ack 1 win 0
15:09:11.759874 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
15:11:07.474979 localhost.www > ak44.1830: R 0:0(0) ack 1875247105 win 0
15:12:57.719445 localhost.www > ak44.1223: R 0:0(0) ack 1021771777 win 0
15:14:59.299136 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
15:16:37.840182 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:18:55.705094 localhost.www > ak44.1350: R 0:0(0) ack 1 win 0
15:19:09.822800 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
15:22:06.038444 localhost.www > ak44.1136: R 0:0(0) ack 1 win 0
15:24:34.779892 localhost.www > ak44.1350: R 0:0(0) ack 1 win 0
15:26:20.128596 localhost.www > ak44.1564: R 0:0(0) ack 1 win 0
15:26:54.352892 localhost.www > ak44.1727: R 0:0(0) ack 1585119233 win 0
15:30:09.264227 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
15:30:23.805141 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
15:33:36.512626 localhost.www > ak44.1150: R 0:0(0) ack 3964928001 win 0
15:33:53.269914 localhost.www > ak44.1978: R 0:0(0) ack 1 win 0
15:35:31.203727 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
15:40:22.882858 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
15:48:25.865657 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:50:58.320704 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
15:52:50.827737 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
15:53:24.315256 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
15:56:36.293002 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
16:01:24.424464 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
16:04:07.837608 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
16:06:31.460495 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
16:06:59.526724 localhost.www > ak44.1492: R 0:0(0) ack 1560084481 win 0
16:07:19.588249 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
16:11:04.062059 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
16:16:36.629287 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
16:23:50.536861 localhost.www > ak44.1476: R 0:0(0) ack 447217665 win 0
16:24:28.821593 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
16:30:23.978754 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
16:32:40.473297 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
16:34:55.571850 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
16:38:43.510077 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
16:42:32.607069 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
16:43:14.775732 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
16:50:45.061615 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
16:54:44.409621 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
17:21:08.620665 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
17:27:16.687680 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
17:45:30.420001 localhost.www > ak44.1622: R 0:0(0) ack 1 win 0
17:54:47.880069 localhost.www > ak44.1795: R 0:0(0) ack 1 win 0
18:02:52.075875 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
18:05:51.865723 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
18:09:30.574252 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
18:10:02.824618 localhost.www > ak44.1564: R 0:0(0) ack 1 win 0
18:26:49.818131 localhost.www > ak44.1047: R 0:0(0) ack 156237825 win 0
18:45:05.881450 localhost.www > ak44.1695: R 0:0(0) ack 1089732609 win 0
19:03:43.833613 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:04:18.128918 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
19:08:49.977849 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:09:09.789850 localhost.www > ak44.1404: R 0:0(0) ack 80609281 win 0
19:09:23.200848 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
19:11:59.422804 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
19:16:39.696476 localhost.www > ak44.1722: R 0:0(0) ack 1 win 0
19:20:19.214256 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
19:36:00.823915 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
19:36:00.823921 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
19:36:00.823921 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
19:37:11.682315 localhost.www > ak44.1150: R 0:0(0) ack 3964928001 win 0
19:41:52.385683 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:48:33.666399 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
19:48:34.714980 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:49:08.221934 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
19:49:41.676108 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:52:09.203052 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
19:52:50.577143 localhost.www > ak44.1836: R 0:0(0) ack 1 win 0
19:56:32.759962 localhost.www > ak44.1308: R 0:0(0) ack 716898305 win 0
20:02:46.702459 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
20:06:49.158612 localhost.www > ak44.1564: R 0:0(0) ack 1 win 0
20:07:25.916447 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
20:09:26.320179 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
20:10:01.244101 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
20:20:34.098431 localhost.www > ak44.1308: R 0:0(0) ack 1 win 0
20:21:26.646002 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
20:22:00.120084 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
20:23:06.371371 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
20:26:38.077842 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
20:26:53.062807 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
20:40:06.582671 localhost.www > ak44.1822: R 0:0(0) ack 1 win 0
20:41:11.789616 localhost.www > ak44.1737: R 0:0(0) ack 1 win 0
20:47:00.797674 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
20:47:05.856940 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
20:55:05.785926 localhost.www > ak44.1223: R 0:0(0) ack 1 win 0
20:56:22.504853 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
20:56:55.986661 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
21:02:47.936626 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
21:11:12.943473 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
21:14:22.982505 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
21:26:40.567071 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
21:30:40.319933 localhost.www > ak44.1664: R 0:0(0) ack 1 win 0
21:44:29.989086 localhost.www > ak44.1586: R 0:0(0) ack 1500971009 win 0
21:47:03.874573 localhost.www > ak44.1038: R 0:0(0) ack 1596784641 win 0
21:47:03.874579 localhost.www > ak44.1038: R 0:0(0) ack 1 win 0
21:50:22.971820 localhost.www > ak44.1492: R 0:0(0) ack 1 win 0
21:51:50.345117 localhost.www > ak44.1151: R 0:0(0) ack 1 win 0
21:52:53.370823 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
21:57:50.228198 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
21:58:24.256441 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
22:04:06.796632 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
22:04:40.302811 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
22:13:31.420037 localhost.www > ak44.1964: R 0:0(0) ack 1896153089 win 0
22:22:34.801235 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
22:23:08.851266 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0
22:24:55.372717 localhost.www > ak44.1152: R 0:0(0) ack 1 win 0
22:25:29.090657 localhost.www > ak44.1912: R 0:0(0) ack 1 win 0


Also, wie ziehe ich jetzt am klügsten einen Rückschluss darauf, von welchem Prozess die Verbindungen kommen. Ich bin mir fast sicher, dass es da eine Möglichkeit gibt!

MfG

Steht eth0 im Internet? Vielleicht ist es ein DDOS mit gespoofter Source IP... Was für Dienste laufen denn so auf Deiner Büxe?

Edit DDOS kann's net sein, Zeitabstände zu groß. komisch. Wie gesagt, poste mal deine laufenden Dienste, vielleicht findet sich da ja wat.

eth0 hat eine statische IP.
Folgende Dienste sind nach aussen hin offen, also werden von iptables durchgelassen:
22 SSH
443 HTTPS (apache-ssl)

Folgende Prozesse laufen lokal:
25 Postfix
udp 53 DNS
ein eggdrop (diverse TCP und UDP Listener, die aber von aussen nicht erreichbar sind)


Hoffe daraus lässt sich irgendwas rückschliessen.

MfG

ALso der Eggdrop ist es nicht und der Apache ist es nicht.
Jetz probiere ich noch die anderen Dienste ausser SSH, sont bin ich raus aus dem geschäft *g

davon ca 4000, stetig steigend. Also ca minütlich, wobei die sec. und die dest Ports immer unterschiedlich sind.

Ein Angreifer oder ein DoS Tool würde doch keine ACK Pakete senden sondern eher SYN Pakete oder ähnliches...

Um ein Stealth Backdoor zu öffnen würde mann nie so viele Anfragen schicken - kann man ja direkt ein Schild schreiben ;-)

Eher könnte es ein schlecht programmieretes DDoS Tool sein dass in die falsche Richtung losgegangen ist und ACK schickt weil auf SYN Attacken jeder vorbereitet ist:ugly:

Tja, mit mehr als Vermutungen kann ich nicht dienen...

Freue mich auf die Lösung...

cane

Naja bei den Intervallen zwischen 1-30Minuten kann ich mir nicht vorstellen, dass es sich um DDoS handelt.
Der bind9 ist auch nicht schuld, ich probiere jetzt ein Daemon nach dem anderen wegzuschalten um zu sehen ob der Fehler noch auftritt, vielleicht komm ich dem so irgendwie auf die Schliche.
Freue mich auch auf eine Lösung :D

MfG

Und, hat die "Probieren geht über Studieren2 Strategie was zu Tage gebracht?

cane

nachtrag:

habe in der suse mailinglist gerade ähnliches (quasi gleiches) gelesen
dabei hatte der jenige aber "log martian source" aktiviert und konnte somit in den logs diese "werid pakets" sehen

nachdem er mit etheral gedumpt hat, fiel im die aktivität 127.0.0.1:80->x.x.x.x auf

die lösung eines anderen:
anruf des providers, nächsten tag problem weg
vermutung: falsch geroutete pakete durch ISP

greez

ich habe auch diese erscheinung wie oben geschrieben.
da dachte ich so bei mir, dump doch mal auf dem loopbackinterface mit.
was soll ich sagen: wenn die mars- packete auftauchten, war auf dem loopback tote hose.

zu meinem system: eth0 ist der LAN adapter und auf eth1 ist das ppp0 interface. auf dem eth1/ ppp0 laufen keine dienste, auf eth0 laufen samba, named, sshd, dhcpd, vncserver, nfsserver.

hat noch jemand eine idee, bevor ich meinen provider anrufe?

Hi,

ich habe bei mir jeden laufenden Dienst (ausser SSHD) einzeln gestoppt und eine Zeit laufen lassen, doch der "Effekt" tritt trotzdem auf!
Also werde ich wohl oder übel mal meinem Provider kontaktieren müssen!

emba:
Könntest du evtl in Erfahrung bringen was genau dein Provider falsch geroutet hat?

MfG

@r4DiC4L

bei mir tritt das prob zwar auch auf, aber mein voriges posting bezog sich auf eine mail eines anderen in einer mailingliste

ich hab also noch nicht mit meinem provider gesprochen

bitte postet erfahrungen, wenn ihr genaueres wisst

greez

Noch ne Idee: Hast Du mal in den crontabs nachgesehen, ob da was steht? Oder ganz abstrus (irgendwann fängt man ja mal an auch seine verlorene Brille im Kühlschrank zu suchen... :D )Macht der snort vielleicht selbst die Anfragen?

Macht der snort vielleicht selbst die Anfragen?[QUOTE]

Geht ja nicht wegen:

[QUOTE]ich habe bei mir jeden laufenden Dienst (ausser SSHD) einzeln gestoppt und eine Zeit laufen lassen, doch der "Effekt" tritt trotzdem auf!

@r4DiC4L

Bist Du ganz sicher dass der Rechner sauber ist?

`lsof -Pni` zeigt ja nur immer die aktuellen Verbindungen an, und
den Zeitpunkt zu treffen wo einer dieser Verbindungen statt findet,
dürfte auf diesem Weg schwierig werden.
Also wie kann ich dem am besten nachgehen?
Hat schon mal jemand probiert, ob die tail-Nachverfolgung funktioniert,
evtl. sich sogar noch in eine Ausgabedatei umleiten lässt?

fuser -n tcp 80 sollte dir die Prozess ID anzeigen.

moin moin

nur mal so'ne idee. habt ihr eventuell eine *präparierte* /etc/hosts um werbung, webbugs etc. ins leere laufen zu lassen?


Gruß HL

das hat jmd. in der SuSE ML Security herausgefunden

Hi friends,

I get an answer from a friend of mine. This weird traffic comes from Blaster.
Check http://www.goonda.org/lists/dragonidsuser/2003-08/msg00095.htm [down??? - anm. des verf.] to see
the details.

My error was to monitor traffic on ppp0 and belive that packets from 127.0.0.1
to my ppp0 IP was in the inside to ouside direction... Actually those packets
were comming from outside to inside (from some clever windows guy). The
lesson learn is that you must monitor traffic at least in two points when the
packets are weird: if I had monitored at the same time my interface loopback
(that simple god!) I would have seen there was no real traffic comming out
from my local 127.0.0.1.

Now I ask myself, should'nt my ISP stop routing packets which contain a local
127.0.0.0/32 IP as dest/orig ?

My second question is about how to stop that... Before turning off the martian
logs (which I would like to keep on), I am going to try an iptables rule so I
drop any packets comming to ppp0 from any 127.0.0.0/32. Anybody tried that
already? Will that stop those blaster martian logs? I'll try out and I'll
tell you what happends.

...



hoffe, es hilft

greez

Hallo,

auch wenn ich das Thema wieder ausgrabe, aber ich habe so ein ähnliches Problem:

eth0 169.254.1.1 Sub: 255.255.255.0 -> dsl0
eth1 169.254.100.1 Sub 255.255.0.0 -> ins Intranet

bei mir steht in der messages martian source ...169.254.255.255 from 169.254.100.199, on dev eth0

Na was soll ich damit anfangen? Die beiden IPs gibts bei mir im ganzen Netzwerk net. Auf was deutet dieser Fehler hin?

Danke für eure Hilfe!

Grüße Johannes

@basstscho
das sieht eher nach einer dhcp Anfrage auf die nicht aufgelöstwerden konnte da kein dhcp Server verfügbar die Netzwerkkarten bekommen nämlch dann eine Adresse aus diesem Bereich

Hallo,

hmm...der Server selber ist komischerweise DHCP-Server :) Ich habe gerade vorher mal die Firewall neu gestartet, seither ist nichtsmehr..bzw. ich hatte den rechner übe rnacht aus..kann evt auch sein, dass da andere PCs reinfunken oder? Ich habe da die XP-Rechner im Visier...

Grüße Johannes

tja zu diesem Thema hat mich google weitergeleitet... :o
allerdings habe ich das problem im moment selbst erzeugt.:confused:
ich habe einen DHCP Server derdyndns macht und ein wlan mit ip adressen und dns versorgt. und das läuft auch. jetzt kommt aber eine netzwerkkarte dazu weil ich auch ein wire anschluss brauche. der soll auch über den dhcpserver mit ip adresse und somit dann auch dyndns versorgt werden. wlan ip des servers: ...7.248 netz ip des servers: ...7.247 dhcp mit eth1 eth2 gestartet. so der client bekommt eine ip adresse kann aber nicht in dns registriert werden: (daten geändert)


DHCPDISCOVER from 00:xx:xx.... (host) via eth2
wgserver dhcpd: DHCPOFFER on 192.168.7.4 to 00:xx:xx..... (host) via eth2
wgserver named[18732]: client 127.0.0.1#32804: updating zone 'zone': update unsuccessful: host.zone 'name not in use' prerequisite not satisfied (YXDOMAIN)
wgserver named[18732]: client 127.0.0.1#32804: updating zone 'zone': update unsuccessful: host.zone/TXT: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
wgserver dhcpd: Can't update forward map host.zone to 192.168.7.4: no such RRset
wgserver dhcpd: DHCPREQUEST for 192.168.7.4 (192.168.7.247) from 00:xx:xx... (host) via eth2
wgserver dhcpd: DHCPACK on 192.168.7.4 to 00:xx:xx... (host) via eth2

danach kommen dann solche meldungen:


wgserver kernel: martian source 192.168.7.4 from 192.168.7.4, on dev eth2
wgserver kernel: ll header: ff:ff:ff:ff:ff:ff:00:xx:xx...
wgserver kernel: martian source 192.168.7.4 from 192.168.7.4, on dev eth2
wgserver kernel: ll header: ff:ff:ff:ff:ff:ff:00:xx:xx...

weiß jemand woran das liegen kann? wenn es falsch geroutet wird dann dürfte ja keine dhcpack kommen. der client meint er hat ne ip erhalten allerdings wenn ich da den server vom client aus anpingen will kommt garnichts.

zwei NIC's im selben Subnet ...