An alle Wissenden :-) Ich betreibe unter anderem einen Linux-Router-Druckserver, der sehr zuverlässig arbeitet. Darauf habe ich einen caching DNS eingerichtet. So weit, so gut. Allerdings baut er (in unregelmäßigen Abständen) selbständig ISDN-Verbindungen auf, selbst dann, wenn niemand auf dem Router aktiv ist und ich ihn vom LAN nehme. Hier ist der "Schuldige" aus /var/log/messages: OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80 Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert? Vielen Dank im voraus! Frank-Michael Fischer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
"Frank-Michael Fischer" <hotmifi@compuserve.de> wrote
An alle Wissenden :-)
Bin ich leider noch net :-)
Offenbar versucht ein Programm auf meinem Router über den
HTTP-Port
80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Könnte es ein Hackerangriff sein? Ich weiss ja nicht, aber wenn es möglich wär, ist die Firewall nicht sicher genug???
Vielen Dank im voraus!
Frank-Michael Fischer
Viel Glück, hoffentlich ist es ganz anderes! CU Daniel Seichter --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, * On Wed, Aug 02, 2000 at 09:49:06AM +0200, Frank-Michael Fischer wrote:
An alle Wissenden :-) Na, ich antworte mal trotzdem... ;)
Allerdings baut er (in unregelmäßigen Abständen) selbständig ISDN-Verbindungen auf, selbst dann, wenn niemand auf dem Router aktiv ist und ich ihn vom LAN nehme. Hier ist der "Schuldige" aus /var/log/messages:
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Es scheint sich dabei (afaik) um eine maskierte Verbindung aus Deinem internen Netz zu handeln (und zwar um eine WWW-Anfrage). Ist irgendwo auf einem Client noch ein Web-Browser offen?
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Die DNS-Anfrage ist imho nur sekundaer, vorher wird anscheinend nach der Webseite gefragt. (Eine ganz normale Webseite, habe grad mal draufgeschaut). Wenn Du gar nicht weiterkommst, dann kannst Du ja auch mal bei den Admins von U.Arizona.EDU nachfragen, ob auch sie was in ihren Logs haben. Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
"Heiko Degenhardt" <heiko.degenhardt@sentec-elektronik.de> wrote
Die DNS-Anfrage ist imho nur sekundaer, vorher wird anscheinend nach der Webseite gefragt. (Eine ganz normale Webseite, habe grad mal draufgeschaut). Wenn Du gar nicht weiterkommst, dann kannst Du ja auch mal bei den Admins von U.Arizona.EDU nachfragen, ob auch sie was in ihren Logs haben.
Auf http://jamaica.u.arizona.edu/local/ssh.html gibt es diverse Skripte für das U.arizona Dingens. Es ist eine UNIX-Cluster. Dort kann man sein System, sofern ich es richtig auf Deutsch übersetzt habe, bei dem Cluster anmelden. Vielleicht steckt in dem Linux-Router-Printserver das Skript drin, das versucht, mit dem jamaica... zu kontaktieren???
Rgds. Heiko.
CU Daniel Seichter --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Heiko Degenhardt wrote:
Hallo,
* On Wed, Aug 02, 2000 at 09:49:06AM +0200, Frank-Michael Fischer wrote:
An alle Wissenden :-) Na, ich antworte mal trotzdem... ;)
Allerdings baut er (in unregelmäßigen Abständen) selbständig ISDN-Verbindungen auf, selbst dann, wenn niemand auf dem Router aktiv ist und ich ihn vom LAN nehme. Hier ist der "Schuldige" aus /var/log/messages:
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Es scheint sich dabei (afaik) um eine maskierte Verbindung aus Deinem internen Netz zu handeln (und zwar um eine WWW-Anfrage). Ist irgendwo auf einem Client noch ein Web-Browser offen?
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Die DNS-Anfrage ist imho nur sekundaer, vorher wird anscheinend nach der Webseite gefragt. (Eine ganz normale Webseite, habe grad mal draufgeschaut). Wenn Du gar nicht weiterkommst, dann kannst Du ja auch mal bei den Admins von U.Arizona.EDU nachfragen, ob auch sie was in ihren Logs haben.
Rgds. Heiko.
Hab mal weitergeforscht, der Link scheint etwas mit PHP zu tun zu haben. Wie ich schon dokumentierte, ist bei dem spontanen Verbindungsaufbau gar nichts offen, kein WWW, habe das ganze LAN abgeklemmt. Der Router wurde einfach nur gebootet. Von außen sind keinerlei Requests erkennbar. Es muss eine Softwarekomponente aus SuSE 6.4 sein, die sich selbständig macht. Frank-Michael Fischer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moin, On Mit, 02 Aug 2000, Frank-Michael Fischer send incredible lines: [...]
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Was ein bisschen stutzig macht ist der Port 61556. Was für ein Service läuft dort bei dir? Es würde mich nicht wundern wenn irgendjemand auf deinem Router ein Program laufen lässt das diese Verbindung initiert (so vom Stile SETI@home oder irgendein Hacker Tool, z.B. Sub Seven). ... may the Tus be with you! =Thomas= -- Thomas Bendler \\:// ml@bendler-net.de Billwiese 22 (o -) http://www.bendler-net.de/ 21033 Hamburg ---ooO-(_)-Ooo--- tel.: 0 177 - 277 37 61 Germany Linux, enjoy the ride ...! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Thomas, * On Wed, Aug 02, 2000 at 11:20:41AM +0200, Thomas Bendler wrote:
On Mit, 02 Aug 2000, Frank-Michael Fischer send incredible lines: [...]
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Was ein bisschen stutzig macht ist der Port 61556. Was für ein Service läuft dort bei dir?
AFAIK sind Ports > 61000 oft Verbindungen von Rechnern hinter einem Linux-Host mit NAT (also IP Masqerading). Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: "Heiko Degenhardt" <heiko.degenhardt@sentec-elektronik.de> Sent: Wednesday, August 02, 2000 11:59 AM
* On Wed, Aug 02, 2000 at 11:20:41AM +0200, Thomas Bendler wrote:
On Mit, 02 Aug 2000, Frank-Michael Fischer send incredible lines: [...]
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Was ein bisschen stutzig macht ist der Port 61556. Was für ein Service läuft dort bei dir?
AFAIK sind Ports > 61000 oft Verbindungen von Rechnern hinter einem Linux-Host mit NAT (also IP Masqerading).
Hast du mal ein "netstat -ep" gemacht? Welches Prog ist's denn, daß die Verbindung macht? Und welcher User? -- Marco Dieckhoff icq# 22243433 PGP Fingerprint: 9EFA D64F 5DAA D36B E0E7 CE1B 9E1B 4903 0C51 1632 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marco Dieckhoff wrote:
From: "Heiko Degenhardt" <heiko.degenhardt@sentec-elektronik.de> Sent: Wednesday, August 02, 2000 11:59 AM
* On Wed, Aug 02, 2000 at 11:20:41AM +0200, Thomas Bendler wrote:
On Mit, 02 Aug 2000, Frank-Michael Fischer send incredible lines: [...]
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Was ein bisschen stutzig macht ist der Port 61556. Was für ein Service läuft dort bei dir?
AFAIK sind Ports > 61000 oft Verbindungen von Rechnern hinter einem Linux-Host mit NAT (also IP Masqerading).
Hast du mal ein "netstat -ep" gemacht? Welches Prog ist's denn, daß die Verbindung macht? Und welcher User?
Klar habe ich auf dem Router IP Masqerading laufen. Der "Witz" ist nur, dass selbst wenn ich alle Clients abklemme und den Router auf leeren Platten NEU INSTALLIERE! dieser Spontanaufbau stattfindet, ohne dass ausser mir jemand eingeloggt ist. Ich schau jetzt mal mit netstat und lsof nach, was das ist. Danke erstmal! Frank-Michael Fischer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 2 Aug 2000, Thomas Bendler wrote:
Moin,
On Mit, 02 Aug 2000, Frank-Michael Fischer send incredible lines: [...]
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum? Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Was ein bisschen stutzig macht ist der Port 61556. Was für ein Service läuft dort bei dir? Es würde mich nicht wundern wenn irgendjemand auf deinem Router ein Program laufen lässt das diese Verbindung initiert (so vom Stile SETI@home oder irgendein Hacker Tool, z.B. Sub Seven).
Ich denke es ist eine Maskierte tcp-ip-verbindung... schon aufgrund des hohen ports... Bei masquerading liegen die port numal von 61000-(61000+4096)... Bis denne, Jens Sülwald -- Name : Jens Suelwald /"\ Web 1 : http://cochrane.dyndns.org \ / ASCII Ribbon Campaign Web 2 : http://www.jsuelwald.de.vu x Say NO to HTML in email and IRC-NICK : mccoy_ / \ news --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Frank-Michael Fischer wrote:
Hier ist der "Schuldige" aus /var/log/messages:
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Den Portnummern (Source-Port 61556) nach zu urteilen sieht es so aus, als ob es sich um eine maskierte Verbindung handelt... Ist da wirklich nicht von Deinen Clients aus aktiv? Ein "netstat -M" sollte auflisten, was an maskierten Verbindungen offen ist...
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum?
Du kannst ja mal versuchen, mittels "tcpdump", o.ae. den Netzwerkverkehr mitzuverfolgen. Vielleicht hilft auch das Kommando "fuser" weiter.
Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Es ist ja (lt. der aus "/var/log/messages" zitierten Zeile) wohl eine eindeutige HTTP-Anfrage. Und auf "128.196.137.18" laeuft auch ein Webserver. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Den Portnummern (Source-Port 61556) nach zu urteilen sieht es so aus, als ob es sich um eine maskierte Verbindung handelt...
Ist da wirklich nicht von Deinen Clients aus aktiv? Ein "netstat -M" sollte auflisten, was an maskierten Verbindungen offen ist...
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum?
Du kannst ja mal versuchen, mittels "tcpdump", o.ae. den Netzwerkverkehr mitzuverfolgen. Vielleicht hilft auch das Kommando "fuser" weiter.
Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Es ist ja (lt. der aus "/var/log/messages" zitierten Zeile) wohl eine eindeutige HTTP-Anfrage. Und auf "128.196.137.18" laeuft auch ein Webserver.
Gruss, Steffen
Vielen Dank für die Tips. Aber wie bereits beschrieben: Das "Problem" taucht auch auf, wenn ich das Ethernetkabel herausziehe. Die Anforderung kann (rein un-esotherisch ;-) nur vom Router selbst kommen. Und was eine HTTP-Anfrage bei einem frisch gebooteten Maschinchen, auf dem niemand eingeloggt ist, auslöst, ist mir unklar und damit das Problem. MfG Frank-Michael Fischer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moin, On Wed, Aug 02, 2000 at 10:58:03PM +0200, Frank-Michael Fischer wrote:
Das "Problem" taucht auch auf, wenn ich das Ethernetkabel herausziehe. Die Anforderung kann (rein un-esotherisch ;-) nur vom Router selbst kommen. Und was eine HTTP-Anfrage bei einem frisch gebooteten Maschinchen, auf dem niemand eingeloggt ist, auslöst, ist mir unklar und damit das Problem.
Ich weiß net, ob's schon gefallen ist, aber was sagt ein netstat -ep ? Olli --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Oliver Antwerpen wrote:
Moin,
On Wed, Aug 02, 2000 at 10:58:03PM +0200, Frank-Michael Fischer wrote:
Das "Problem" taucht auch auf, wenn ich das Ethernetkabel herausziehe. Die Anforderung kann (rein un-esotherisch ;-) nur vom Router selbst kommen. Und was eine HTTP-Anfrage bei einem frisch gebooteten Maschinchen, auf dem niemand eingeloggt ist, auslöst, ist mir unklar und damit das Problem.
Ich weiß net, ob's schon gefallen ist, aber was sagt ein netstat -ep ?
Olli
netstat -ep zeigt nichts an, was mir eine Idee geben könnte, was das Schuldige ist. Frank-Michael Fischer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 2 Aug 2000, Frank-Michael Fischer wrote:
OPEN: 192.168.0.99 -> 128.196.137.18 TCP, port: 61556 -> 80
Den Portnummern (Source-Port 61556) nach zu urteilen sieht es so aus, als ob es sich um eine maskierte Verbindung handelt...
Ist da wirklich nicht von Deinen Clients aus aktiv? Ein "netstat -M" sollte auflisten, was an maskierten Verbindungen offen ist...
Offenbar versucht ein Programm auf meinem Router über den HTTP-Port 80 eine Verbindung mit "jamaica.U.Arizona.EDU" aufzubauen. Warum?
Du kannst ja mal versuchen, mittels "tcpdump", o.ae. den Netzwerkverkehr mitzuverfolgen. Vielleicht hilft auch das Kommando "fuser" weiter.
Was will mein Router von dort? "jamaica.U.Arizona.EDU" ist weder ein Root-DNS noch ein von mir angegebener Forwarder. Weiß jemand, was da passiert?
Es ist ja (lt. der aus "/var/log/messages" zitierten Zeile) wohl eine eindeutige HTTP-Anfrage. Und auf "128.196.137.18" laeuft auch ein Webserver.
Gruss, Steffen
Vielen Dank für die Tips. Aber wie bereits beschrieben:
Das "Problem" taucht auch auf, wenn ich das Ethernetkabel herausziehe. Die Anforderung kann (rein un-esotherisch ;-) nur vom Router selbst kommen. Und was eine HTTP-Anfrage bei einem frisch gebooteten Maschinchen, auf dem niemand eingeloggt ist, auslöst, ist mir unklar und damit das Problem. da iss noch was... die maskierte verbindung steht unter umständen für ca 15 minuten in der Table drinne....
Bis denne, Jens Sülwald -- Name : Jens Suelwald /"\ Web 1 : http://cochrane.dyndns.org \ / ASCII Ribbon Campaign Web 2 : http://www.jsuelwald.de.vu x Say NO to HTML in email and IRC-NICK : mccoy_ / \ news --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (8)
-
heiko.degenhardt@sentec-elektronik.de -
hotmifi@compuserve.de -
jsuelwald@gmx.de -
linux@jwr.de -
mailing@silenceofdeath.de -
ml@bendler-net.de -
moser@egu.schule.ulm.de -
Oliver.Antwerpen@gmx.de