Hallo Heiko,
On Wed, Feb 05, 2003 at 10:40:49PM +0100, Heiko Schlittermann wrote:
> >
> > seit heute Nachmittag (5.Feb. 2003) meldet mein wu-ftpd
> > an die 250 Einw�hlversuche, die meistens etwa so:
> >
> > Feb 5 20:09:15 max wu-ftpd[5642]: connect from p50839AAB.dip.t-dialin.net
> > Feb 5 20:09:18 max wu-ftpd[5642]: lost connection to p50839AAB.dip.t-dialin.net
>[80.131.154.171]
> > Feb 5 20:09:18 max wu-ftpd[5642]: FTP session closed
>
> Ja, und trotzdem flie�en aber Daten, was Du mit tcpdump sehen wirst.
> Obwohl die Session beendet zu sein scheint?
>
> Ich bilde mir ein, sowas schon mal gesehen zu haben. Ich glaube,
> es gab mal ein Loch (nicht nur eins) im WuFTPd.
>
> Und in den flie�enden Daten fand ich (per ngrep) dann Namen wir ATARI
> und �hnliche Dinge, die auf keinen Zufall deuteten. Allerdings habe ich
> nie zugeh�rige Files finden k�nnen, es war aber auch nicht allzuviel
> Zeit ...
hm, ich habe mir mit tcpdump so eine Sequenz angeschaut. Bei mir sieht
es nicht so aus, als wenn Daten �bertragen w�rden. Ich habe die
Ausgabe hinten angeh�ngt.
Inzwischen habe ich die Verbindung einmal unterbrochen und neu aufgebaut.
Seitdem ist wieder Ruhe. Anscheinend habe ich mit der IP-Adresse
irgendwelche Aktivit�ten von dem Vorbesitzer geerbt. Nur da� dann
etwas �ber FTP hereinkommt, habe ich noch nicht erlebt. Egal, ich
hoffe mein wu-ftpd hat dicht gehalten. Sooo schlecht kann er doch
auch nicht sein, wenn er so viel benutzt wird,
Wolfgang
[aus "cat /dev/xconsole"]
Feb 5 22:57:28 max kernel: device ppp0 entered promiscuous mode
Feb 5 22:58:35 max wu-ftpd[8149]: connect from pD9E0A53E.dip.t-dialin.net
Feb 5 22:58:35 max wu-ftpd[8149]: lost connection to pD9E0A53E.dip.t-dialin.net
[217.224.165.62]
Feb 5 22:58:35 max wu-ftpd[8149]: FTP session closed
Feb 5 22:58:42 max kernel: device ppp0 left promiscuous mode
[ grep 217.224.165.62 ... ]
22:58:34.982546 217.224.165.62.3090 > 217.238.63.51.ftp: S [tcp sum ok]
308610543:308610543(0) win 16384 <mss 1440,nop,nop,nop,nop> (DF) (ttl 124, id 51463,
len 48)
22:58:34.982682 217.238.63.51.ftp > 217.224.165.62.3090: S [tcp sum ok]
2209043051:2209043051(0) ack 308610544 win 5808 <mss 1452> (DF) (ttl 64, id 0, len 44)
22:58:35.161367 217.224.165.62.3090 > 217.238.63.51.ftp: . [tcp sum ok] 1:1(0) ack 1
win 17280 (DF) (ttl 124, id 51470, len 40)
22:58:35.173636 217.224.165.62.3090 > 217.238.63.51.ftp: P 1:69(68) ack 1 win 17280
(DF) (ttl 124, id 51471, len 108)
22:58:35.173712 217.238.63.51.ftp > 217.224.165.62.3090: . [tcp sum ok] 1:1(0) ack 69
win 5808 (DF) (ttl 64, id 58945, len 40)
22:58:35.185893 217.238.63.51.ftp > 217.224.165.62.3090: P 1:91(90) ack 69 win 5808
(DF) [tos 0x10] (ttl 64, id 58946, len 130)
22:58:35.397392 217.224.165.62.3090 > 217.238.63.51.ftp: R [tcp sum ok]
308610612:308610612(0) win 0 (DF) (ttl 124, id 51480, len 40)
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
