RE: Ungewollte automatische Einwahl alle 6-7 Minuten
Matthias Houdek [mailto:linux@houdek.de] schrieb:
ich werd bald verrückt. Wenn ich mein ISDN auf DoD stelle, wählt sich der Rechner in schöner Regelmäßigkeit alle 6-7 Minuten ein.
Verpaß mal dem (sm)pppd die ausführlichste Debug-Stufe, die er hat. Das müßte (glaube ich) 9 sein. Dann loggt er in der /var/log/messages mit, welches Paket die Wahl ausgelöst hat. -- Viele Grüße aus Weimar Thomas Voigt
Am Donnerstag 12 August 2004 12:47 schrieb Voigt Thomas:
Matthias Houdek [mailto:linux@houdek.de] schrieb:
ich werd bald verrückt. Wenn ich mein ISDN auf DoD stelle, wählt sich der Rechner in schöner Regelmäßigkeit alle 6-7 Minuten ein.
Verpaß mal dem (sm)pppd die ausführlichste Debug-Stufe, die er hat. Das müßte (glaube ich) 9 sein.
Dann loggt er in der /var/log/messages mit, welches Paket die Wahl ausgelöst hat.
Ja, hab ich schon gemacht. Ethereal macht ja nix anderes, nur dass ich dann auch weiß, was in dem Paket stand. Das erste Paket ist eine DNS-Anfrage (UDP 53) von einer externen IP an eine externe IP. Was mir jetzt allerdings aufgefallen ist: Die Source-IP dieses Paketes ist die alte IP meiner ISDN-Karte (immer von der vorhergehenden Verbindung). Dadurch wird über die Default-Route eine Verbindung aufgebaut, da die Destination-IP nicht lokal erreichbar ist. Ich hab mich jetzt erst mal damit geschützt, dass IP-Tables nach einem Verbindungsabbau Pakete von der jeweils alten IP der ISDN-Karte dropt. Das ist aber nur eine unbefriedigende Lösung. Die Ursache hab ich damit immer noch nicht gefunden :-( -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo! Am Donnerstag, 12. August 2004 13:08 schrieb Matthias Houdek:
Das erste Paket ist eine DNS-Anfrage (UDP 53) von einer externen IP an eine externe IP.
Die mit dem/einem Mailserver identisch ist?
Ich hab mich jetzt erst mal damit geschützt, dass IP-Tables nach einem Verbindungsabbau Pakete von der jeweils alten IP der ISDN-Karte dropt.
Das ist zwar auch wirksam, aber sicher nicht die perfekte Lösung. Thilo -- ------------------------------------------------------------------------------------ Thilo Gramlich Thilo (a dot) Gramlich (an at symbol) aktivanet (a dot) de
Am Donnerstag 12 August 2004 13:53 schrieb Thilo Gramlich:
Hallo!
Am Donnerstag, 12. August 2004 13:08 schrieb Matthias Houdek:
Das erste Paket ist eine DNS-Anfrage (UDP 53) von einer externen IP an eine externe IP.
Die mit dem/einem Mailserver identisch ist?
Sehen alle aus wie T-Online-Einwahlnummern, da kann man das nicht eindeutig sagen. Aber ich weiß schon, worauf du hinaus willst. Klappt aber nicht (hab ich aber auch shcon dran gedacht). Wie gesagt, die Source-IP ist ja meine alte und das Packet kommt ja auch von lokal (sonst würde es ja keine Verbindung aufbauen.
Ich hab mich jetzt erst mal damit geschützt, dass IP-Tables nach einem Verbindungsabbau Pakete von der jeweils alten IP der ISDN-Karte dropt.
Das ist zwar auch wirksam, aber sicher nicht die perfekte Lösung.
Ebend. Aber zumindest spart es erst mal Kosten. Ich hab auch schon mit einem neuen chkrootkit das System gecheckt, jetzt werd ich mir mal von Hand aus alles, was mit ISDN im Zusammenhang steht, etwas genauer ansehen. Einiges hab ich mir schon ein wenig genauer angesehen. Das erste Packet ist nur manchmal eine DNS-Anfrage. Meist ist es eine Netbios-NameQuery (UDP 137). Deshalb hab ich da auch gar nicht weiter was drauf gegeben, denn die kommen ja nach einer Einwahl regelmäßig *g*. Nur weiß ich nicht, wodurch die generiert werden (noch dazu mit der Absender-IP). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
participants (3)
-
Matthias Houdek -
Thilo Gramlich -
Voigt Thomas