Hallo zusammen, mir ist gerade aufgefallen, dass meine Kiste (jetzt SuSE 9.2 FTP) eine Vorliebe zu Novell zu haben scheint. Ich vermute das, da ich gerade folgende Einwahlversuche in /var/log/messages fand. Feb 6 20:21:21 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62371 -> 80 Feb 6 20:21:51 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62375 -> 80 Feb 6 20:23:12 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62374 -> 80 Feb 6 20:23:38 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62367 -> 80 Feb 6 20:24:08 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62375 -> 80 Feb 6 20:24:39 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62374 -> 80 Feb 6 20:25:27 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62367 -> 80 Feb 6 20:36:06 r99 kernel: OPEN: 217.245.110.227 -> 130.57.4.27 TCP, port: 62391 -> 80 Feb 6 20:39:38 r99 kernel: OPEN: 217.245.111.139 -> 130.57.4.27 TCP, port: 62555 -> 80 Feb 6 20:40:37 r99 kernel: OPEN: 217.245.111.139 -> 130.57.4.27 TCP, port: 62553 -> 80 Feb 6 20:41:11 r99 kernel: OPEN: 217.245.111.139 -> 130.57.4.27 TCP, port: 62558 -> 80 Feb 7 18:16:22 r99 kernel: OPEN: 217.245.108.10 -> 130.57.4.27 TCP, port: 63203 -> 80 Feb 7 18:16:51 r99 kernel: OPEN: 217.245.108.10 -> 130.57.4.27 TCP, port: 63203 -> 80 Feb 7 18:17:22 r99 kernel: OPEN: 217.245.108.10 -> 130.57.4.27 TCP, port: 63203 -> 80 Feb 7 18:18:22 r99 kernel: OPEN: 217.245.108.10 -> 130.57.4.27 TCP, port: 63203 -> 80 ...usw... Feb 14 19:51:35 r99 kernel: OPEN: 217.245.110.92 -> 130.57.4.27 TCP, port: 63210 -> 80 Feb 14 19:53:01 r99 kernel: OPEN: 217.245.110.92 -> 130.57.4.27 TCP, port: 63210 -> 80 Feb 14 19:54:27 r99 kernel: OPEN: 217.245.110.92 -> 130.57.4.27 TCP, port: 63210 -> 80 Feb 14 19:56:19 r99 kernel: OPEN: 217.245.110.82 -> 130.57.4.27 TCP, port: 63217 -> 80 Und nein, es ist jeweils _kein_ Browser&Co. aktiv. Ist das nur bei mir so? Mein System habe ich schon fast komplett nach der IP grep'en lassen. Leider bisher ohne Erfolg. Ich werde meinem Router erstmal die "130.57.4.27" verbieten. MfG Th. Moritz
Hallo, Am Mon, 14 Feb 2005, Thomas Moritz schrieb:
Hallo zusammen, mir ist gerade aufgefallen, dass meine Kiste (jetzt SuSE 9.2 FTP) eine Vorliebe zu Novell zu haben scheint. Ich vermute das, da ich gerade folgende Einwahlversuche in /var/log/messages fand.
Feb 6 20:21:21 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62371 -> 80 Feb 6 20:21:51 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 [..] Und nein, es ist jeweils _kein_ Browser&Co. aktiv.
Auch kein Yast?
Ist das nur bei mir so? Mein System habe ich schon fast komplett nach der IP grep'en lassen. Leider bisher ohne Erfolg. Ich werde meinem Router erstmal die "130.57.4.27" verbieten.
Lass mal ein 'netstat -tcp' als root laufen. Da muesste dann der Prozess mit auftauchen. -dnh -- "Da fragen 'se Norbert Blüm, aber der fracht sich auch nur 'was bin ich?'" -- Georg Schramm im Scheibenwischer
Am Montag, 14. Februar 2005 22:23 schrieb David Haller: Hallo David,
Am Mon, 14 Feb 2005, Thomas Moritz schrieb:
Hallo zusammen, mir ist gerade aufgefallen, dass meine Kiste (jetzt SuSE 9.2 FTP) eine Vorliebe zu Novell zu haben scheint. Ich vermute das, da ich gerade folgende Einwahlversuche in /var/log/messages fand.
Feb 6 20:21:21 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62371 -> 80 Feb 6 20:21:51 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27
[..]
Und nein, es ist jeweils _kein_ Browser&Co. aktiv.
Auch kein Yast?
Auch kein YaST und kein You.
Lass mal ein 'netstat -tcp' als root laufen. Da muesste dann der Prozess mit auftauchen.
Ich habe mal schnell ein kleines Script "zusammengebastelt", was mir netstat hoffentlich zum richtigen Zeitpunkt startet und die Ausgaben in ein File schreibt. Bitte nicht hauen:-)
/home/tester/einwahl<<< #!/bin/bash set -e
suche="130.57.4.27" tail -n 0 -F /var/log/messages | while read -r line; do echo "$line" | grep -q "$suche" if [ $? == 0 ]; then break fi done logfile=`date +%H%M%S`.log netstat -tcp > "$logfile" & k=$! sleep 20 kill $k exit
EOF<<<
Nun muss ich mal den heutigen Abend abwarten. Danke fuer den Tip, David! MfG Th. Moritz -- Wenn man glaubt, etwas zu sein, hat man aufgehoert, etwas zu werden.
Hallo, On Tuesday 15 February 2005 17:27, Thomas Moritz wrote:
Am Montag, 14. Februar 2005 22:23 schrieb David Haller:
Auch kein Yast?
Auch kein YaST und kein You.
Ich tippe auf "susewatcher" ein KDE Applet welches nach neuen Updates Ausschau hält. Das kann man auch deaktivieren wenn's nicht gefällt. Schöne Grüße aus Stuhr hartmut
Am Dienstag, 15. Februar 2005 17:53 schrieb Hartmut Meyer: Hallo Hartmut,
On Tuesday 15 February 2005 17:27, Thomas Moritz wrote:
Am Montag, 14. Februar 2005 22:23 schrieb David Haller:
Auch kein Yast?
Auch kein YaST und kein You.
Ich tippe auf "susewatcher" ein KDE Applet welches nach neuen Updates Ausschau hält. Das kann man auch deaktivieren wenn's nicht gefällt.
Der ist es auch nicht. Das Teil verschwindet gleich nach dem ersten KDE-Start mit den Optionen "Beenden und beim Start nicht ausfuehren":-) Aber ich bin ja jetzt guter Hoffnung, dass ich mit netstat auf die richtige Spur komme. MfG Th. Moritz -- Wenn Du denkst, Du bist unersetzbar, dann schau auf den Friedhof, der ist voll davon!
On Tuesday 15 February 2005 18:42, Thomas Moritz wrote:
Ich tippe auf "susewatcher" ein KDE Applet welches nach neuen Updates Ausschau hält. Das kann man auch deaktivieren wenn's nicht gefällt.
Der ist es auch nicht. Das Teil verschwindet gleich nach dem ersten
Nochn Schuss ins Blaue: Ich hatte mal versehentlich den kwebdesktop als Bildschirmhintergrund aktiviert (kcontrol -> Hinergrund). Dann hat er immer alle paar Minuten eine KDE Seite geholt - jetzt vielleicht Novel als default? Ich hab auch ewig nicht gemerkt worans lag, weil ueber dem kwebdesktop ein ganz normales Bild lag! Wenn es bei Dir nicht genau dasselbe ist, dann vielleicht was aehnliches!? Irgend nen Newsticker oder weiss der Fuchs was in irgendeiner anderen Anwending aktiviert worden sein kann - newsticker, mail client, browser. cu Ruediger
On Tue, Feb 15, 2005 at 05:53:06PM +0100, Hartmut Meyer wrote:
Hallo,
On Tuesday 15 February 2005 17:27, Thomas Moritz wrote:
Am Montag, 14. Februar 2005 22:23 schrieb David Haller:
Auch kein Yast?
Auch kein YaST und kein You.
Ich tippe auf "susewatcher" ein KDE Applet welches nach neuen Updates Ausschau hält. Das kann man auch deaktivieren wenn's nicht gefällt.
Das macht es nur alle 24 Stunden einmal. Es ist irgendwas anderes. Ciao, Marcus
Hallo David, ...schwups, da war er schon raus, der erste Bastelversuch. Das funktionierende Teil sieht so aus.
/home/tester/bash/einwahl<<< #!/bin/bash set -e
suche="130.57.4.27" tail -n 0 -F /var/log/messages | while read -r line; do echo "$line" | grep -q "$suche" if [ $? == 0 ]; then logfile=`date +%H%M%S`.log netstat -tcp > "$logfile" & k=$! sleep 20 kill $k fi done exit
EOF<<<
Sorry fuer die Irrefuehrung! MfG Th. Moritz -- Wenn Du denkst, Du bist unersetzbar, dann schau auf den Friedhof, der ist voll davon!
Am Montag, 14. Februar 2005 20:29 schrieb Thomas Moritz: Hallo zusammen,
mir ist gerade aufgefallen, dass meine Kiste (jetzt SuSE 9.2 FTP) eine Vorliebe zu Novell zu haben scheint. Ich vermute das, da ich gerade folgende Einwahlversuche in /var/log/messages fand.
Feb 6 20:21:21 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62371 -> 80 ... Feb 14 19:56:19 r99 kernel: OPEN: 217.245.110.82 -> 130.57.4.27 TCP, port: 63217 -> 80
Ich habe nun mittlerweile meine Kisten hier im Buero komplett untersucht und nichts gefunden, was auf die obige IP passt. Es ist kein YaST, kein You, kein NewsTicker usw. und seit dem 14.02. waehlt der Router diese IP nicht mehr an:-( Ist das nun der beruechtigte "Vorfuehreffekt"? Die einzige Kiste, die ich mir noch vornehmen muss, ist die vom Toechterlein. Vielleicht werde ich dort fuendig. Ansonsten melde ich mich diesbezueglich wieder, sobald ich was herausgefunden habe. (mein Script laeuft rund um die Uhr und ich bin zuversichtlich!) [achja- der LogfileName entsteht jetzt aus Datum und Zeit:-)] Danke trotzdem schonmal an alle, die versucht haben zu helfen! MfG Th. Moritz -- Geisterfahrer sind oft sehr entgegenkommend!
Am Montag, 14. Februar 2005 20:29 schrieb Thomas Moritz: Hallo zusammen, ich antworte mal auf meine Ausgangsmail und bedanke mich bei allen, die sich dem Problem angenommen hatten!
mir ist gerade aufgefallen, dass meine Kiste (jetzt SuSE 9.2 FTP) eine Vorliebe zu Novell zu haben scheint. Ich vermute das, da ich gerade folgende Einwahlversuche in /var/log/messages fand.
Feb 6 20:21:21 r99 kernel: OPEN: 217.245.110.122 -> 130.57.4.27 TCP, port: 62371 -> 80 ... Feb 14 19:56:19 r99 kernel: OPEN: 217.245.110.82 -> 130.57.4.27 TCP, port: 63217 -> 80
Nun ist es eine ganze Weile her und ich konnte mit Hilfe von "netstat -tcp" und meinem Script herausfinden, dass die obige IP immer dann angewaehlt wird, wenn die Kiste gerade offline ist und irgend ein Link zur SLES9-sdb angeklickt wird. Der Zufall wollte es so, dass ich zur damaligen Zeit scheinbar immer am fruehen Abend mit dem Schmoekern beschaeftigt war. Nun bin ich beruhigt - Danke! MfG Th. Moritz -- In EU-Ost steht jetzt meine Firma, das Schweizer Konto regelt die Irma. Hier in Deutschland hol' ich mein Wohngeld, man bin ich ein Held! (Zukunft?) (c)Th.M.
participants (5)
-
David Haller
-
Hartmut Meyer
-
Marcus Meissner
-
Ruediger Meier
-
Thomas Moritz