Re: [PUG] traffic aufspueren
hi, Stephan Schaffner schrieb: Ob es SSH ist weis ich nicht! Es ist mit Sicherheit immer noch der Wurm, der schon seit Monaten durchs Netz schwirrt. Sofern der SSH Daemon nicht läuft, od. die Kennwörter zu einfach sind, gibt es da nichts zu befürchten. kannst du ja nicht haben, weil es ISDN ist ;-) Das Eine hat mit dem Anderen nichts zu tun. Nur eine Frage habe ich noch, SSH ist doch nicht Standart Mäßig instllaiert als Komponente, oder irre ich mich da? SSH sollte immer zum Standard gehören, ob der Daemon auch läuft, ist eine andere Geschichte. Mich nervt es, dass unter Ubuntu Desktop nur der Client dabei ist, nicht jedoch der Daemon. cu denny signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Am Dienstag, 13. März 2007 19:19 schrieb Denny Schierz: hi, Stephan Schaffner schrieb: Ob es SSH ist weis ich nicht! Es ist mit Sicherheit immer noch der Wurm, der schon seit Monaten durchs Netz schwirrt. Sofern der SSH Daemon nicht läuft, od. die Kennwörter zu einfach sind, gibt es da nichts zu befürchten. kannst du ja nicht haben, weil es ISDN ist ;-) Das Eine hat mit dem Anderen nichts zu tun. Nur eine Frage habe ich noch, SSH ist doch nicht Standart Mäßig instllaiert als Komponente, oder irre ich mich da? SSH sollte immer zum Standard gehören, ob der Daemon auch läuft, ist eine andere Geschichte. Mich nervt es, dass unter Ubuntu Desktop nur der Client dabei ist, nicht jedoch der Daemon. In dem Moment, in welchem mir das auffiel. lief ssh. Im Mandrake Control Center kann man die Systemdienste an- oder abschalten. Ich habe es abgeschaltet. - Ich gehe davon aus dass das nur eine kleine Episode von ca. 1' war - da hat vielleicht Jemand was versucht. Seitdem trat so etwas nicht mehr auf. Gruß und Danke, Michael Bischof -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Michael Bischof wrote: Am Sonntag, 11. März 2007 13:05 schrieb Dieter Schütze: Oder einfach auf der Webseite: http://who-is.at/ abfragen ;-) Danke, Dieter, klappt gut. Sogar eine Telefonnummer in Riyad war angegeben! Weiß der Geier was der wollte. Mit an Sicherheit grenzender Wahrscheinlichkeit ist derjenige welcher für den Traffic bei Dir verantwortlich ist, nicht unter dieser Telefonnummer erreichbar! Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Also in Deutschland würde das nichts ausmachen, denn solange die IP Adresse nicht gefälscht ist, ist der Admin-C rechtlich verantwortlich. Wie das in anderen Ländern gehandhabt wird entzieht sich meiner Kenntniss. Gruß Dieter Klaus Klein schrieb: Michael Bischof wrote: Am Sonntag, 11. März 2007 13:05 schrieb Dieter Schütze: Oder einfach auf der Webseite: http://who-is.at/ abfragen ;-) Danke, Dieter, klappt gut. Sogar eine Telefonnummer in Riyad war angegeben! Weiß der Geier was der wollte. Mit an Sicherheit grenzender Wahrscheinlichkeit ist derjenige welcher für den Traffic bei Dir verantwortlich ist, nicht unter dieser Telefonnummer erreichbar! Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Dieter Schütze wrote: Also in Deutschland würde das nichts ausmachen, denn solange die IP Adresse nicht gefälscht ist, ist der Admin-C rechtlich verantwortlich. Wie das in anderen Ländern gehandhabt wird entzieht sich meiner Kenntniss. Der Admin-C ist für die IP-Adresse verantwortlich. Ob er jedoch bei einem gehackten Rechner auch für den daraus resultierenden Traffic in die Verantwortung genommen werden kann, kann ich nicht beurteilen, würde ich aber nicht annehmen. (Zumindest nicht bevor ihm jemand nachweisen kann das er hierüber Kenntnis hat) Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Es steht Dir doch frei das nicht zu glauben. Ich als Admin-C von nicht nur meinen Webseiten weiß da eben etwas anderes. Wenn man so einen Eintrag hat sollte man sich schon informieren für was man alles Verantwortlich sein kann und das ist enorm viel. Da steht man immer mit einem Bein im Knast. Übrigens hast Du DIr die Antwort selber gegeben. Er ist für die Adresse verantwortlich und eben auch was damit passiert. Gruß Dieter PS: ein kleines weiteres Beispiel: Ist kein Impressum vorhanden kommt der Admin-C dran da seine Adresse hinterlegt sein muss. Das ist der Ansprechpartner und Verantwortliche wenn es um Dinge geht die im Zusammenhang mit der Domain, in der dieser Admin-C ist, geregelt werden müssen. Klaus Klein schrieb: Dieter Schütze wrote: Also in Deutschland würde das nichts ausmachen, denn solange die IP Adresse nicht gefälscht ist, ist der Admin-C rechtlich verantwortlich. Wie das in anderen Ländern gehandhabt wird entzieht sich meiner Kenntniss. Der Admin-C ist für die IP-Adresse verantwortlich. Ob er jedoch bei einem gehackten Rechner auch für den daraus resultierenden Traffic in die Verantwortung genommen werden kann, kann ich nicht beurteilen, würde ich aber nicht annehmen. (Zumindest nicht bevor ihm jemand nachweisen kann das er hierüber Kenntnis hat) Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Es steht Dir doch frei das nicht zu glauben. Ich als Admin-C von nicht nur meinen Webseiten weiß da eben etwas anderes. Wenn man so einen Eintrag hat sollte man sich schon informieren für was man alles Verantwortlich sein kann und das ist enorm viel. Da steht man immer mit einem Bein im Knast. Übrigens hast Du DIr die Antwort selber gegeben. Er ist für die Adresse verantwortlich und eben auch was damit passiert. Hallo zusammen Hier geht es um eine IP und nicht um eine Domain. Auch wenn per Reverse Lookup ne Domain bei rauskommt eine IP kann mehr als eine Domain darstellen und deshalb auch 1 Admin c 's haben . Zuständig ist der Netblock Owner. MfG Markus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Das ist korrekt dann sieht aber der Admin-C Eintrag auch anders aus wie z.b: 83.246.78.102 inetnum: 83.246.78.64 - 83.246.78.127 admin-c: TH24-RIPE Gruß Dieter Markus schrieb: Es steht Dir doch frei das nicht zu glauben. Ich als Admin-C von nicht nur meinen Webseiten weiß da eben etwas anderes. Wenn man so einen Eintrag hat sollte man sich schon informieren für was man alles Verantwortlich sein kann und das ist enorm viel. Da steht man immer mit einem Bein im Knast. Übrigens hast Du DIr die Antwort selber gegeben. Er ist für die Adresse verantwortlich und eben auch was damit passiert. Hallo zusammen Hier geht es um eine IP und nicht um eine Domain. Auch wenn per Reverse Lookup ne Domain bei rauskommt eine IP kann mehr als eine Domain darstellen und deshalb auch 1 Admin c 's haben . Zuständig ist der Netblock Owner. MfG Markus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Am Montag 12 März 2007 19:35 schrieb Dieter Schütze: Das ist korrekt dann sieht aber der Admin-C Eintrag auch anders aus wie z.b: 83.246.78.102 inetnum: 83.246.78.64 - 83.246.78.127 admin-c: TH24-RIPE Gruß Dieter sorry admin-c ist ist ein dns eintrag. das netz ist ip :D suche nach dem Netblock Owner. cu -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Dieter Schütze wrote: Also in Deutschland würde das nichts ausmachen, denn solange die IP Adresse nicht gefälscht ist, ist der Admin-C rechtlich verantwortlich. Wie das in anderen Ländern gehandhabt wird entzieht sich meiner Kenntniss. Gruß Dieter Klaus Klein schrieb: Michael Bischof wrote: Am Sonntag, 11. März 2007 13:05 schrieb Dieter Schütze: Oder einfach auf der Webseite: http://who-is.at/ abfragen ;-) Danke, Dieter, klappt gut. Sogar eine Telefonnummer in Riyad war angegeben! Weiß der Geier was der wollte. Mit an Sicherheit grenzender Wahrscheinlichkeit ist derjenige welcher für den Traffic bei Dir verantwortlich ist, nicht unter dieser Telefonnummer erreichbar! Gruß, Klaus Auf das whois gedönes kann man sich nicht verlassen, Spammer und Co. haben ihre Mittel und Wege wie u.a. Beispiel zeigt.. oder glaubt jemand das die Faxnummer wirklich gültig ist ^^ gruss chris Domain: micirsoft.com Registrant Domain Admin Internet Advertising [EMAIL PROTECTED] PO Box 533 West Bay, Grand Cayman WB KY +1.11 (FAX) Administrative Domain Admin Internet Advertising [EMAIL PROTECTED] PO Box 533 West Bay, Grand Cayman WB KY +1.11 (FAX) Billing Domain Admin Internet Advertising [EMAIL PROTECTED] PO Box 533 West Bay, Grand Cayman WB KY +1.11 (FAX) Technical Domain Admin Internet Advertising [EMAIL PROTECTED] PO Box 533 West Bay, Grand Cayman WB KY +1.11 (FAX) Record created on September 30, 2004 Record last updated on March 12, 2007 Record expires on September 30, 2007 Domain Name Servers: NS1.TENANT-HOSTING.COM NS2.TENANT-HOSTING.COM -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
hi, Michael Bischof schrieb: tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:49823 TIME _WAIT hmm, also die erste Ip 87.193.52.226 gehört einer Firma in Koblenz (das ist deine IP, die du ja bekommen hast), die Zweite irgendeinem Araber aus den Emiraten. Da wird versucht, eine SSH Verbindung aufzubauen. Sie könne auch bereits bestehen, aber das wissen andere sicher besser. Mir fehlt da am Ende der Ausgabe was. Eine bestehende SSH verbindung sieht dann bei mir so aus: tcp 0 0 anjali:38087 tux.pug.org:ssh VERBUNDEN Was ich lieber als netstat verwende, ist lsof -i ssh 30974 denny 3u IPv4 170977 TCP anjali:38087-tux.pug.org:ssh (ESTABLISHED) cu denny signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Michael Bischof wrote: Hallo Liste, ich habe hier Mandriva 2006 und das Tool kisdndial. Wenn ich im Netz bin färbt sich das rot und gibt Zahlenwerte über den ablaufenden Traffic an. Gestern hatte ich KMail aufgemacht und war auf einigen Webseiten (Browser Konqueror). Wenn man diese minimiert und nichts daran macht (Unterlinks anklickt etc.) sieht man dass der angezeigte Traffic 0 ist. Aber plötzlich war laufend Traffic, um die 2-3 KB/sec, und ich hatte keine Ahnung was da passierte, von bzw. mit welcher Adresse das Datenaustausch ablief. Wie findet man so etwas unter Linux raus? Ich würde in solch einem Fall halt wissen wollen von wem das ausging. Einige Versuche habe ich gemacht: netstat, ifconfig und route. Das Ergebnis sagt mir aber nichts. Gruß, Michael Bischof bash$ netstat ergab u.a. tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:49823 TIME _WAIT tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:48741 TIME _WAIT tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:50148 TIME _WAIT tcp0720 87-193-52-226.ipool.cel:ssh :::194.105.148.80:55395 VERB UNDEN -- [EMAIL PROTECTED] ~]# ifconfig ippp0 Link encap:Punkt-zu-Punkt Verbindung inet Adresse:87.193.52.226 P-z-P:212.60.192.36 Maske:255.0.0.0 UP PUNKTZUPUNKT RUNNING NOARP MTU:1500 Metric:1 RX packets:3013 errors:0 dropped:0 overruns:0 frame:0 TX packets:3550 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:30 RX bytes:665978 (650.3 KiB) TX bytes:515802 (503.7 KiB) loLink encap:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:48 errors:0 dropped:0 overruns:0 frame:0 TX packets:48 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:3680 (3.5 KiB) TX bytes:3680 (3.5 KiB) [EMAIL PROTECTED] ~]# route Kernel IP Routentabelle ZielRouter Genmask Flags Metric RefUse Iface 212.0.0.0 * 255.0.0.0 U 40 00 ippp0 default as-ffm-8.celox. 0.0.0.0 UG40 00 ippp0 Guden .. bei der ausgabe würde ich vermuten das ein SSH-Script-Kid/Bot versucht hat bei dir auf den rechner zu gelangen ... hab ich hier am laufenden Band. Wenn du SSH (als Serverdienst nicht brauchst) würde ich dir empfehlen mit hilfe der Firewall den port 22 zu schliessen. ansonsten warst du mit dem netstat -tna gar nicht so falsch. gruss chris -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Michael Bischof wrote: Hallo Liste, ich habe hier Mandriva 2006 und das Tool kisdndial. Wenn ich im Netz bin färbt sich das rot und gibt Zahlenwerte über den ablaufenden Traffic an. Gestern hatte ich KMail aufgemacht und war auf einigen Webseiten (Browser Konqueror). Wenn man diese minimiert und nichts daran macht (Unterlinks anklickt etc.) sieht man dass der angezeigte Traffic 0 ist. Aber plötzlich war laufend Traffic, um die 2-3 KB/sec, und ich hatte keine Ahnung was da passierte, von bzw. mit welcher Adresse das Datenaustausch ablief. Wie findet man so etwas unter Linux raus? Ich würde in solch einem Fall halt wissen wollen von wem das ausging. Einige Versuche habe ich gemacht: netstat, ifconfig und route. Das Ergebnis sagt mir aber nichts. Gruß, Michael Bischof bash$ netstat ergab u.a. tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:49823 TIME _WAIT tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:48741 TIME _WAIT tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:50148 TIME _WAIT tcp0720 87-193-52-226.ipool.cel:ssh :::194.105.148.80:55395 VERB UNDEN -- [EMAIL PROTECTED] ~]# ifconfig ippp0 Link encap:Punkt-zu-Punkt Verbindung inet Adresse:87.193.52.226 P-z-P:212.60.192.36 Maske:255.0.0.0 UP PUNKTZUPUNKT RUNNING NOARP MTU:1500 Metric:1 RX packets:3013 errors:0 dropped:0 overruns:0 frame:0 TX packets:3550 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:30 RX bytes:665978 (650.3 KiB) TX bytes:515802 (503.7 KiB) loLink encap:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:48 errors:0 dropped:0 overruns:0 frame:0 TX packets:48 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:3680 (3.5 KiB) TX bytes:3680 (3.5 KiB) [EMAIL PROTECTED] ~]# route Kernel IP Routentabelle ZielRouter Genmask Flags Metric RefUse Iface 212.0.0.0 * 255.0.0.0 U 40 00 ippp0 default as-ffm-8.celox. 0.0.0.0 UG40 00 ippp0 p.s. das Programm iptraf ist auch sehr gut zu gebrauchen. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Am Sonntag, 11. März 2007 10:52 schrieb Denny Schierz: hi, Michael Bischof schrieb: tcp0 0 87-193-52-226.ipool.cel:ssh :::194.105.148.80:49823 TIME _WAIT hmm, also die erste Ip 87.193.52.226 gehört einer Firma in Koblenz (das ist deine IP, die du ja bekommen hast), die Zweite irgendeinem Araber aus den Emiraten. Da wird versucht, eine SSH Verbindung aufzubauen. Sie könne auch bereits bestehen, aber das wissen andere sicher besser. Mir fehlt da am Ende der Ausgabe was. Danke, Denny! Aber woher weißt Du - ...87.193.52.226 gehört einer Firma in Koblenz ... - die Zweite irgendeinem Araber aus den Emiraten... ? Für Dich offenbar Alltagskram, für mich ein Rätsel! Gruß und Danke, Michael -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
hi, Michael Bischof schrieb: Danke, Denny! Aber woher weißt Du - ...87.193.52.226 gehört einer Firma in Koblenz ... - die Zweite irgendeinem Araber aus den Emiraten... ? Für Dich offenbar Alltagskram, für mich ein Rätsel! whois 87.193.52.226 Wenn whois nicht drauf ist, musst du es nachinstallieren. cu denny signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Oder einfach auf der Webseite: http://who-is.at/ abfragen ;-) Gruß Dieter Denny Schierz schrieb: hi, Michael Bischof schrieb: Danke, Denny! Aber woher weißt Du - ...87.193.52.226 gehört einer Firma in Koblenz ... - die Zweite irgendeinem Araber aus den Emiraten... ? Für Dich offenbar Alltagskram, für mich ein Rätsel! whois 87.193.52.226 Wenn whois nicht drauf ist, musst du es nachinstallieren. cu denny -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] traffic aufspueren
Am Sonntag, 11. März 2007 13:05 schrieb Dieter Schütze: Oder einfach auf der Webseite: http://who-is.at/ abfragen ;-) Danke, Dieter, klappt gut. Sogar eine Telefonnummer in Riyad war angegeben! Weiß der Geier was der wollte. Das Kommando netstat -plantu ist auch ganz gut, wenn man die Verbindungen nachsehen will. Gruß, Michael Bischof -- PUG - Penguin User Group Wiesbaden - http://www.pug.org