On Tue, 1 Feb 2000, Jens Benecke wrote: >On Mon, Jan 31, 2000 at 10:59:15AM +0000, Andreas Koehler wrote: >> On Mon, 31 Jan 2000, Jens Benecke wrote: >> >seit einiger Zeit habe ich merkwürdige Nameserver-Anfragen auf meiner >> >Wie bekomme ich raus, welcher Prozess diese Anfragen abschickt? >> tcpdump ? > >Da habe ich nix verdächtiges sehen können. Allerdings werden da auch keine >Prozesse angezeigt...
Hi, Du hast natürlich recht, aber ein Herantasten sollte dennoch möglich sein. Beispiel: | koean# tcpdump -v 'dst host koean and dst port smtp' | tcpdump: listening on eth0 | 09:13:01.417801 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: S | 301568494:301568494(0) win 8760 <mss 1460> (DF) (ttl 254, id 26164) | 09:13:01.419256 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: . | ack 2649327935 win 8760 (DF) (ttl 254, id 26165) | 09:13:01.500722 ast.vs.dasa.de.35306 > koean.vs.dasa.de.smtp: . | ack 93 win 8760 (DF) (ttl 254, id 26170) ... Geloggt werden damit alle "Verbindungen" an die Ports tcp/smtp und udp/smtp auf Host koean. Im Logging sieht man z.B., daß irgendein Client Process auf dem Host ast.vs.dasa.de über den Client Port 35306 arbeitet. Jetzt klicker, klacker einloggen auf ast.vs.dasa.de und: | koean# less /proc/net/tcp zeigt einen Eintrag: | sl local_address rem_address ... uid timeout inode | nr: xxxxxxxx:89EA xxxxxxxx:0019 65534 0 174 ... was einem immerhin schon mal sagt, das Nutzer 65534 (hier nobody) der Übeltäter ist. Jetzt noch ein: | koean# ps aux | grep nobody und man erhält eine Liste potentieller Kandidaten! Das eben von Alexander Wiedeck vorgeschlagene lsof geht, glaube ich, nur für filebasierte Sockets - oder (Bitte nicht mit RTFM antworten, sondern Lösungen posten!)? Ciao Andreas -- Windows NT indeed has very low Total Cost of Ownership. Trouble is, Microsoft _owns_ Windows NT. You just licensed it. ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 762
