/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Udgående forbindelse
Fra : Jørn Hundebøll


Dato : 07-04-03 17:02

Jeg kan via min router se, at min Linux server kontakter IP adresse
212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke mener
at jeg har lavet noget på min server som skal kontakte Jubii, og heller
ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg gerne
vide hvordan jeg kan undersøge hvilket program der kontakter Jubii. Jeg
har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X eller
browser), så jeg frygter lidt jeg er hacket ???

Anyone ??

Jørn


 
 
Kent Friis (07-04-2003)
Kommentar
Fra : Kent Friis


Dato : 07-04-03 17:10

Den Mon, 7 Apr 2003 18:01:43 +0200 skrev Jørn Hundebøll:
>Jeg kan via min router se, at min Linux server kontakter IP adresse
>212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke mener
>at jeg har lavet noget på min server som skal kontakte Jubii, og heller
>ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg gerne
>vide hvordan jeg kan undersøge hvilket program der kontakter Jubii. Jeg
>har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X eller
>browser), så jeg frygter lidt jeg er hacket ???

TCP eller UDP, hvilken port i din ende, og hvad retning er syn-pakken
(for TCP)?

Det kunne være jubiis webcrawler, eller din named, det er svært at
vide sålænge du ikke giver komplet info.

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

Hroi Sigurdsson (07-04-2003)
Kommentar
Fra : Hroi Sigurdsson


Dato : 07-04-03 19:22

Jørn Hundebøll wrote:

> Jeg kan via min router se, at min Linux server kontakter IP adresse
> 212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke mener
> at jeg har lavet noget på min server som skal kontakte Jubii, og heller
> ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg gerne
> vide hvordan jeg kan undersøge hvilket program der kontakter Jubii. Jeg
> har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X eller
> browser), så jeg frygter lidt jeg er hacket ???
>
> Anyone ??

FTP servere har det med at forbinde tilbage til klienten for at aflevere
data. Kan det være det?
Ellers er tcpdump din ven.

--
Hroi


Adam Sjøgren (07-04-2003)
Kommentar
Fra : Adam Sjøgren


Dato : 07-04-03 20:31

On Mon, 7 Apr 2003 20:56:37 +0200, Jørn Hundebøll wrote:

>> Ellers er tcpdump din ven.

> hvordan bruger jeg den til at checke udgående traffik til en bestemt
> IP adresse ?

Først læser du manualen, så prøver du det du synes den siger du skal
gøre, og når den ikke gør det du forventer, så fortæller du om det her
- så kommer der nogen og hjælper.


Mvh.

--
"Vilken sanning, Måns, är sann?" Adam Sjøgren
asjo@koldfront.dk

Klaus Alexander Seis~ (07-04-2003)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 07-04-03 20:39

Adam Sjøgren skrev:

> Først læser du manualen, så prøver du det du synes den siger du
> skal gøre, og når den ikke gør det du forventer, så fortæller du
> om det her - så kommer der nogen og hjælper.

LOL!


// Klaus

--
><>    /JOIN #linux.dk @ irc.oftc.net

Adam Sjøgren (09-04-2003)
Kommentar
Fra : Adam Sjøgren


Dato : 09-04-03 21:43

On Wed, 9 Apr 2003 21:48:07 +0200, Jørn Hundebøll wrote:

> Desværre har det vist sig, at jeg ikke kan oversætte tcpdump pakken uden
> problemer,

Hvorfor henter du ikke bare en pakke fra den distributionen du kører
og installerer den?


Mvh.

--
"Rise and shine, Calvin! The early bird gets the worm!" Adam Sjøgren
"Mfgpbthbbpt.. Big incentive." asjo@koldfront.dk

Jørn Hundebøll (09-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 09-04-03 22:56


"Adam Sjøgren" <spamtrap@koldfront.dk> wrote in message
news:874r579zcm.fsf@virgil.koldfront.dk...
> On Wed, 9 Apr 2003 21:48:07 +0200, Jørn Hundebøll wrote:
>
> > Desværre har det vist sig, at jeg ikke kan oversætte tcpdump pakken uden
> > problemer,
>
> Hvorfor henter du ikke bare en pakke fra den distributionen du kører
> og installerer den?

Jeg har ikke kunne finde en tcpdump som færdig pakke (RPM fil). Jeg bruger
Mandrake (en gammel 8'er).

Jørn



Adam Sjøgren (10-04-2003)
Kommentar
Fra : Adam Sjøgren


Dato : 10-04-03 21:05

On Wed, 9 Apr 2003 23:55:58 +0200, Jørn Hundebøll wrote:

> Jeg har ikke kunne finde en tcpdump som færdig pakke (RPM fil). Jeg
> bruger Mandrake (en gammel 8'er).

Det lyder godt nok utroligt. Jeg får en pakke som andet hit når jeg
søger med Google:

<http://www.google.com/search?q=Mandrake+8+rpm+tcpdump>


Mvh.

--
"Vilken sanning, Måns, är sann?" Adam Sjøgren
asjo@koldfront.dk

Jørn Hundebøll (11-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 11-04-03 20:51


"Adam Sjøgren" <spamtrap@koldfront.dk> wrote in message
news:87znmyp19m.fsf@virgil.koldfront.dk...
> On Wed, 9 Apr 2003 23:55:58 +0200, Jørn Hundebøll wrote:
>
> > Jeg har ikke kunne finde en tcpdump som færdig pakke (RPM fil). Jeg
> > bruger Mandrake (en gammel 8'er).
>
> Det lyder godt nok utroligt. Jeg får en pakke som andet hit når jeg
> søger med Google:
>
> <http://www.google.com/search?q=Mandrake+8+rpm+tcpdump>

Måske fordi min er en gammel 8'er - dvs. 8.0. Jeg har godt set den er med i
den nyere distributioner. Jeg har dog fundet ud af at jeg ikke behøver
tcpdump. Måske vil det være lidt dumt/pinligt at fortælle hvorfor, men
omvendt er tråden ved at være gammel, og der er sikkert ikke så mange med
længere. Men, men. Jeg havde som sagt fået ny router (den gamle SpeedStream
2601 fra TDC ombyttet til en LynkSys wireless). Denne nye router har en log
som viser indgående og udgående connects (IP og port). Jeg opdagede
pludselig at jeg havde udgående connects fra min server, men på forskellige
porte og til forskellige IP'er. Jeg har dog efter et par dages biden negle,
læsen af fucking manualer, forsøg på compilering fundet ud af, at de
udgående connects er til IP adresse som også er i den indgående log til
webserveren. Så det må være min webservers connects til webbrowseren i den
anden ende. Lidt pinligt, men man lærer jo lidt hver gang

Men jeg har besluttet mig for at re-installere serveren under alle
omstændigheder, og der må jeg nok hellere få tcpdump med. Så måske starter
der efter påske en tråd om brugen af tcpdump !

God weekend

Jørn



Adam Sjøgren (12-04-2003)
Kommentar
Fra : Adam Sjøgren


Dato : 12-04-03 14:02

On Fri, 11 Apr 2003 21:50:36 +0200, Jørn Hundebøll wrote:

> Måske fordi min er en gammel 8'er - dvs. 8.0.

Hvis man søger på "Mandrake 8.0 rpm tcpdump" tager det ikke mange klik
at finde en pakke til 8.0 på et mirror, f.ex.:

<http://ftp.sunet.se/pub/Linux/distributions/mandrake/updates/8.0/RPMS/tcpdump-3.6.2-2.1mdk.i586.rpm>


Mvh.

--
"Vilken sanning, Måns, är sann?" Adam Sjøgren
asjo@koldfront.dk

Jørn Hundebøll (07-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 07-04-03 19:55

On Mon, 7 Apr 2003 16:10:07 +0000 (UTC)
leeloo@phreaker.net (Kent Friis) wrote:

> Den Mon, 7 Apr 2003 18:01:43 +0200 skrev Jørn Hundebøll:
> >Jeg kan via min router se, at min Linux server kontakter IP adresse
> >212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke
> mener
> >at jeg har lavet noget på min server som skal kontakte Jubii, og
> heller
> >ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg gerne
> >vide hvordan jeg kan undersøge hvilket program der kontakter Jubii.
> Jeg
> >har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X
> eller
> >browser), så jeg frygter lidt jeg er hacket ???
>
> TCP eller UDP, hvilken port i din ende, og hvad retning er syn-pakken
> (for TCP)?

Jeg kan ikke sige om det er TCP eller UDP - routeren (en TDC LinkSys)
siger kun at den IP (min server) er connected til den IP
(212.112.128.94) på port (xxxx).

>
> Det kunne være jubiis webcrawler, eller din named, det er svært at
> vide sålænge du ikke giver komplet info.
>

jubiis webcrawler kommer vel kun ind til mig, hvad skulle kunne gå ud
fra min maskine ? Desuden har jeg været igennem samtlige mine apache log
filer uden at finde 212.112, det samme gælder mail logs. named fatter
jeg heller ikke skulle connecte til jubii IP range - der er ingen
lignende connects til andre IP adresser (jeg kunne forstå hvis den
connected til en af root name serverne).

Jeg er meget åben for at komme med flere infos, hvis blot jeg ved hvad
jeg kan hjælpe med ??

Jørn


Kent Friis (07-04-2003)
Kommentar
Fra : Kent Friis


Dato : 07-04-03 21:33

Den Mon, 7 Apr 2003 20:54:56 +0200 skrev Jørn Hundebøll:
>On Mon, 7 Apr 2003 16:10:07 +0000 (UTC)
>leeloo@phreaker.net (Kent Friis) wrote:
>
>> Den Mon, 7 Apr 2003 18:01:43 +0200 skrev Jørn Hundebøll:
>> >Jeg kan via min router se, at min Linux server kontakter IP adresse
>> >212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke
>> mener
>> >at jeg har lavet noget på min server som skal kontakte Jubii, og
>> heller
>> >ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg gerne
>> >vide hvordan jeg kan undersøge hvilket program der kontakter Jubii.
>> Jeg
>> >har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X
>> eller
>> >browser), så jeg frygter lidt jeg er hacket ???
>>
>> TCP eller UDP, hvilken port i din ende, og hvad retning er syn-pakken
>> (for TCP)?
>
>Jeg kan ikke sige om det er TCP eller UDP - routeren (en TDC LinkSys)
>siger kun at den IP (min server) er connected til den IP
>(212.112.128.94) på port (xxxx).

Så er det håbløst at hjælpe.

Du kunne evt. checke med netstat -an næste gang du har problemet.

>> Det kunne være jubiis webcrawler, eller din named, det er svært at
>> vide sålænge du ikke giver komplet info.
>>
>jubiis webcrawler kommer vel kun ind til mig, hvad skulle kunne gå ud
>fra min maskine ? Desuden har jeg været igennem samtlige mine apache log
>filer uden at finde 212.112, det samme gælder mail logs. named fatter
>jeg heller ikke skulle connecte til jubii IP range - der er ingen
>lignende connects til andre IP adresser (jeg kunne forstå hvis den
>connected til en af root name serverne).

Og når root serveren henviser til ns7.jubii.dk, hvad forventer du så den
gør?

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

Jørn Hundebøll (07-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 07-04-03 19:57

On Mon, 07 Apr 2003 20:21:40 +0200
Hroi Sigurdsson <hroi@asdf.dk> wrote:

> Jørn Hundebøll wrote:
>
> > Jeg kan via min router se, at min Linux server kontakter IP adresse
> > 212.112.128.94 som ifølge ripe ejes af Jubii. Da jeg absolut ikke
> mener
> > at jeg har lavet noget på min server som skal kontakte Jubii, og
> heller
> > ikke på de porte (3387, 2670, 1771, 1344) over et døgn, vil jeg
> gerne
> > vide hvordan jeg kan undersøge hvilket program der kontakter Jubii.
> Jeg
> > har Apache, postfix, proftpd, ntp, samba og named kørende (ingen X
> eller
> > browser), så jeg frygter lidt jeg er hacket ???
> >
> > Anyone ??
>
> FTP servere har det med at forbinde tilbage til klienten for at
> aflevere
> data. Kan det være det?

nope, der har ingen connects været til maskinen det sidste døgns tid, og
dermed ingen ftp connects (og da slet ikke fra jubii IP range).


> Ellers er tcpdump din ven.
>

hvordan bruger jeg den til at checke udgående traffik til en bestemt IP
adresse ?


Jørn

Palle Lyckegaard (08-04-2003)
Kommentar
Fra : Palle Lyckegaard


Dato : 08-04-03 22:12

<cut>

> hvordan bruger jeg den til at checke udgående traffik til en bestemt IP
> adresse ?

tcpdump -n -i <navn-paa-interface> | grep 212.112.128.94

mvh. Palle

>
>
> Jørn

Claus Albøge (08-04-2003)
Kommentar
Fra : Claus Albøge


Dato : 08-04-03 20:27

Palle Lyckegaard <palle@VOIDlyckegaard.dk> writes:

> <cut>
>
> > hvordan bruger jeg den til at checke udgående traffik til en bestemt IP
> > adresse ?
>
> tcpdump -n -i <navn-paa-interface> | grep 212.112.128.94

% tcpdump -n -i <navn-paa-interface> dst host 212.112.128.94


/Claus A

Lars Kongshøj (08-04-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 08-04-03 20:35

Palle Lyckegaard wrote:
> tcpdump -n -i <navn-paa-interface> | grep 212.112.128.94

En useless use of grep award uddeles hermed.

tcpdump -n -i <navn-paa-interface> host 212.112.128.94

gør tricket, derudover er jeg enig med de øvrige debatører i at den
rigtige løsning er: RTFM.

--
Lars Kongshøj
http://www.kongshoj.com/

Jørn Hundebøll (09-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 09-04-03 20:48


"Lars Kongshøj" <lars_kongshoj@hotmail.com> wrote in message
news:3E93246B.103DD39E@hotmail.com...
> Palle Lyckegaard wrote:
> > tcpdump -n -i <navn-paa-interface> | grep 212.112.128.94
>
> En useless use of grep award uddeles hermed.
>
> tcpdump -n -i <navn-paa-interface> host 212.112.128.94
>
> gør tricket, derudover er jeg enig med de øvrige debatører i at den
> rigtige løsning er: RTFM.

Jeg kan se at mit spørgsmål om hvordan tcpdump kaldes skulle være stillet
efter jeg havde fået prøvet tcpdump. Men jeg var ved at få tcpdump
installeret, og det var ikke "bare lige", så jeg forsøgte at skære genvej.
Desværre har det vist sig, at jeg ikke kan oversætte tcpdump pakken uden
problemer, og min maskine snakker stadig en gang imellem med andre maskiner.
Jeg har forsøgt at slå alt i hjel: "portmap, xinetd, ntpd, samba, postfix,
apache, mysqld, sshd" men den snakker stadig. Jeg tror derfor min maskine er
blevet hacket, og jeg er ved at re-installere den. Jeg kunne dog godt have
tænkt mig at vide hvad det er som snakker, men det må nok forblive en
hemmelighed.

Jørn




Lars Kongshøj (09-04-2003)
Kommentar
Fra : Lars Kongshøj


Dato : 09-04-03 21:43

"Jørn Hundebøll" wrote:
> Jeg kan se at mit spørgsmål om hvordan tcpdump kaldes skulle være stillet
> efter jeg havde fået prøvet tcpdump. Men jeg var ved at få tcpdump
> installeret, og det var ikke "bare lige", så jeg forsøgte at skære genvej.

OK, folkedomstolen lader nåde gå for ret for denne ene gangs skyld

> Desværre har det vist sig, at jeg ikke kan oversætte tcpdump pakken uden
> problemer, og min maskine snakker stadig en gang imellem med andre maskiner.

Der er jo en eller anden pakke (libpcap), du skal installere først.
Ellers må du jo lige poste fejlmeddelelsen her.

> Jeg har forsøgt at slå alt i hjel: "portmap, xinetd, ntpd, samba, postfix,
> apache, mysqld, sshd" men den snakker stadig. Jeg tror derfor min maskine er
> blevet hacket, og jeg er ved at re-installere den. Jeg kunne dog godt have
> tænkt mig at vide hvad det er som snakker, men det må nok forblive en
> hemmelighed.

Hvis det nu er en hacker, geninstaller han vel også bare sin bagdør,
eller hvad? Jeg gætter nu på at det var falsk alarm. Under alle
omstændigheder synes jeg at det er smartest at finde årsagen, inden man
geninstallerer.

--
Lars Kongshøj
http://www.kongshoj.com/

Jørn Hundebøll (09-04-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 09-04-03 22:58


"Lars Kongshøj" <lars_kongshoj@hotmail.com> wrote in message
news:3E9485DB.1AE499AA@hotmail.com...
> "Jørn Hundebøll" wrote:
> > Jeg kan se at mit spørgsmål om hvordan tcpdump kaldes skulle være
stillet
> > efter jeg havde fået prøvet tcpdump. Men jeg var ved at få tcpdump
> > installeret, og det var ikke "bare lige", så jeg forsøgte at skære
genvej.
>
> OK, folkedomstolen lader nåde gå for ret for denne ene gangs skyld
>
> > Desværre har det vist sig, at jeg ikke kan oversætte tcpdump pakken uden
> > problemer, og min maskine snakker stadig en gang imellem med andre
maskiner.
>
> Der er jo en eller anden pakke (libpcap), du skal installere først.
> Ellers må du jo lige poste fejlmeddelelsen her.

Den kunne jeg hellere ikke få lov til at compilere (fejl, sikkert fordi der
er et eller andet i fil systemet som er fucked up.

>
> > Jeg har forsøgt at slå alt i hjel: "portmap, xinetd, ntpd, samba,
postfix,
> > apache, mysqld, sshd" men den snakker stadig. Jeg tror derfor min
maskine er
> > blevet hacket, og jeg er ved at re-installere den. Jeg kunne dog godt
have
> > tænkt mig at vide hvad det er som snakker, men det må nok forblive en
> > hemmelighed.
>
> Hvis det nu er en hacker, geninstaller han vel også bare sin bagdør,
> eller hvad? Jeg gætter nu på at det var falsk alarm. Under alle
> omstændigheder synes jeg at det er smartest at finde årsagen, inden man
> geninstallerer.

Måske, men jeg har en gammel Mandrake 8, og opgradere nu til den nye 9.1.
Jeg er lige nu ved at flytte mine data over på en backup maskine, som de
næste par dage kommer til at fungere som server. Imens kan jeg måske arbejde
lidt med den gamle maskine for at finde problemet.

Jørn



Søg
Reklame
Statistik
Spørgsmål : 177551
Tips : 31968
Nyheder : 719565
Indlæg : 6408843
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste