Es ist doch nicht weg. Irgendetwas wählt sich alle 5 Minuten ein. Ich habe mal den rat von Alexandra Druecke befolgt und tcpdump laufen lassen. Das Ergebnis (Ausschnitt) habe ich mal beigefügt. Mit der manpage zu tcpdump bin ich nun ein wenig überfordert. Was kann ich damit anfangen? Wie schließe ich jetzt auf den Übeltäter? 1. Der Client (pauli) leitet die Einwahl ein: pauli:/home/karl # tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:24:28.143344 IP pauli.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 22:24:33.148060 arp who-has fini.brandt tell pauli.brandt 22:24:33.148184 arp reply fini.brandt is-at 00:11:6b:35:55:f9 (oui Unknown) 22:24:33.152083 IP pauli.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 2. Der Server (fini) reagiert wie "gewünscht": fini:~ # tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ippp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 22:24:18.317529 IP fini.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) 22:24:20.308795 IP fini.brandt.1130 > dns03.btx.dtag.de.domain: 61770+ PTR? 129.2.25.194.in-addr.arpa. (43) Für Hilfe auf immer und ewig dankbar Karl Brandt