Wer spricht mit 20six.nl?
Hallo Liste. Auf einem Server, welcher u.a. Mail, Amavis mit ClamAV, DNS, ntp und andere Dinge bereitstellt, zeigt mir iftop seit einigen Tagen an, daß Datenverkehr von und zu 20six.nl läuft, manchmal auch zu duck.de.20six.net. Das kommt mir komisch vor, denn mit diesem Host hat der Server eigentlich nichts zu tun. Wie krieg ich denn am besten raus, was da läuft, und wer sich da so munter unterhalten mag? Danke und Gruß. -- Andre Tann
Hallo Andre, Andre Tann schrieb:
Hallo Liste.
Auf einem Server, welcher u.a. Mail, Amavis mit ClamAV, DNS, ntp und andere Dinge bereitstellt, zeigt mir iftop seit einigen Tagen an, daß Datenverkehr von und zu 20six.nl läuft, manchmal auch zu duck.de.20six.net. Das kommt mir komisch vor, denn mit diesem Host hat der Server eigentlich nichts zu tun. Wie krieg ich denn am besten raus, was da läuft, und wer sich da so munter unterhalten mag?
wie wäre es mit snort? Eventuell auch Ethereal
Danke und Gruß.
Gruß Niels Send instant messages to your online friends http://au.messenger.yahoo.com
Hallo, was sagt denn ein "netstat -ltp" Dort sollte doch dann diese Domain auch auftauchen. Eventuell kannst du auch netstat mit nltp aufrufen - musste dir nur vorher die IP der 20six.nl holen und mit grep dann filtern Gruß Carsten
Hallo Liste.
Auf einem Server, welcher u.a. Mail, Amavis mit ClamAV, DNS, ntp und andere Dinge bereitstellt, zeigt mir iftop seit einigen Tagen an, daß Datenverkehr von und zu 20six.nl läuft, manchmal auch zu duck.de.20six.net. Das kommt mir komisch vor, denn mit diesem Host hat der Server eigentlich nichts zu tun. Wie krieg ich denn am besten raus, was da läuft, und wer sich da so munter unterhalten mag?
Danke und Gruß.
-- Andre Tann
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Carsten Ferdian, Montag, 8. Mai 2006 13:20:
was sagt denn ein "netstat -ltp"
Dort sollte doch dann diese Domain auch auftauchen.
Eventuell kannst du auch netstat mit nltp aufrufen - musste dir nur vorher die IP der 20six.nl holen und mit grep dann filtern
Mit netstat komme ich da nicht sehr weit, weil der Traffic immer nur kurz stattfindet. Bis ich dann netstat aufgerufen habe, ist alles wieder vorbei. Gibt es irgend ein Kommandozeilentool (habe nur ssh-Zugang), mit dem ich mir allen Verkehr zu 20six.nl fortlaufend mitloggen kann, sodaß ich nicht darauf angewiesen bin, den richtigen Zeitpunkt zu erwischen? ethereal ist ja mE auf X angewiesen. -- Andre Tann
On Mon, 08 May 2006, 13:37:05 +0200, Andre Tann wrote:
Carsten Ferdian, Montag, 8. Mai 2006 13:20:
was sagt denn ein "netstat -ltp"
Dort sollte doch dann diese Domain auch auftauchen.
Eventuell kannst du auch netstat mit nltp aufrufen - musste dir nur vorher die IP der 20six.nl holen und mit grep dann filtern
Mit netstat komme ich da nicht sehr weit, weil der Traffic immer nur kurz stattfindet. Bis ich dann netstat aufgerufen habe, ist alles wieder vorbei.
Ich vermute mal, dass ist Traffic, der von NTP ausgeloest wird. Mach' mal ein "ntpq -p", da wird dann der Rechner als "remote Server" genannt sein. Falls Du Dich fragst, wieso, dann mach' mal ein "host 0.de.pool.ntp.org" oder was Du sonst so als "server ..." in Deiner /etc/ntp.conf stehen hast.
Gibt es irgend ein Kommandozeilentool (habe nur ssh-Zugang), mit dem ich mir allen Verkehr zu 20six.nl fortlaufend mitloggen kann, sodaß ich nicht darauf angewiesen bin, den richtigen Zeitpunkt zu erwischen? ethereal ist ja mE auf X angewiesen.
tcpdump HTH, cheers. l8er manfred
Manfred Hollstein, Montag, 8. Mai 2006 13:45:
Ich vermute mal, dass ist Traffic, der von NTP ausgeloest wird. Mach' mal ein "ntpq -p", da wird dann der Rechner als "remote Server" genannt sein. Falls Du Dich fragst, wieso, dann mach' mal ein "host 0.de.pool.ntp.org" oder was Du sonst so als "server ..." in Deiner /etc/ntp.conf stehen hast.
Ah, in der Tat, das ist der Punkt. Kapiert.
tcpdump
HTH
Helps, indeed. Danke und Gruß. -- Andre Tann
participants (4)
-
Andre Tann -
Carsten Ferdian -
Manfred Hollstein -
niels jende