Forum Debian Users Gang

dowoszek · 2010-06-04 10:28:50

Witam,
Właśnie obserwuję dziwne zjawisko na moim kompie. Non-stop pobierane są jakieś dane z prędkością około 60KB/s... tyle, że nie mam pojęcia co to za dane. Nie są to na pewno żadne automatyczne aktualizacje, bo wszystko mam wyłączone, środowisko fluxbox, polecenie "netstat -tup" nic nie wyświetla, przelogowanie się nic nie daje, także wygląda mi, że to coś ciągnie się z root'a... Co to może być?

Ostatnio edytowany przez dowoszek (2010-06-04 10:29:57)

saiqard · 2010-06-04 10:39:35

netstat'em możesz zobaczyć aktywne połączenia z internetem

Minio · 2010-06-04 11:39:25

iftop podpowie Ci skąd ten transfer jest (IP, resolved name). lsof pokaże otwarte połączenia TCP i wskaże proces który ich używa.

sigo · 2010-06-04 12:59:23

60KiB/s to spora ilość danych. Może są to niedomknięte połączenia protokołu bittorent. Nie obstawiał bym na sshd, gdyż nie generuje to takiego ruchu. W skrajnym przypadku możesz być podłączony do jakiegoś botnetu, a komputer może funkcjonować jako zombie.
Dowiedz się więcej na temat połączeń i daj znać.

Przy okazji - jeżeli masz uruchomiony sshd, sprawdź sobie (z roota):

Kod:

grep -i 'sshd.*fail' sciezka-dostepu-do-logow-sshd | tail -n 20

Ostatnio edytowany przez sigo (2010-06-04 13:02:39)

dowoszek · 2010-06-04 13:29:30

W tym momencie nie mogę już sprawdzić, bo po restarcie nie ma tego transferu. Nie korzystam z ssh ani torrentów.
A czy mógł to spowodować dostawca internetu (Dialog)?

sigo · 2010-06-04 15:35:43

Raczej mało prawdopodobnie (nawet nie widzę sensu takiego działania), gdyż ruch występował pomiędzy jakąś maszyną a Twoim komputerem. Może jakaś chwilowa anomalia - złośliwe boty lub coś w tym rodzaju.

Na przyszłość, spisz szybko listę połączeń oraz spróbuj przechwycić treść pakietów tego dziwnego transferu - możesz użyć wiresharka i o ile się nie mylę tcpdump.

Ostatnio edytowany przez sigo (2010-06-04 15:37:03)

bobycob · 2010-06-05 19:54:23

Może jesteś podłączony do jakiejś dużej sieci ethernet i słychać aż tyle broadcastów :)
DHCP, SMB, ARP itd.

Ostatnio edytowany przez bobycob (2010-06-05 19:54:46)

qluk · 2010-06-05 21:33:51

Przyczyna moze byc tylko i wylacznie uzytkownik.
Broadcasty? SMB nie uzywa.

dowoszek · 2010-06-08 14:58:00

Wygląda na to, że mam coś źle skonfigurowane?
iftop pokazuje mi ten transfer jako:
169.254.255.255 <= 169.254.229.22

Jest to internet z Dialogu (pppoe, zmienne ip, bez dhcp). Ktoś się pokusi o interpretację, bo ja słabiuśko w tym temacie?

saiqard · 2010-06-08 16:48:51

pokaż ifconfig

dowoszek · 2010-06-08 20:22:03

Z tego co udało mi się wyguglać, to te adresy są powiązane z DHCP. Moje łącze niby nie korzysta z tego.

Kod:

eth0      Link encap:Ethernet  HWaddr 00:13:f6:29:cd:ba  
          inet6 addr: fe80::213:f6ff:ff39:cdba/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35270 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1391 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:5472088 (5.2 MiB)  TX bytes:121230 (118.3 KiB)
          Interrupt:11 Base address:0xc000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:87.Y.X.18  P-t-P:87.Y.X.1  Mask:255.255.255.255 <----tutaj iksy i igreki moje ;)
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1907 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1368 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:1808169 (1.7 MiB)  TX bytes:89581 (87.4 KiB)

Ostatnio edytowany przez dowoszek (2010-06-08 20:26:27)

kayo · 2010-06-08 20:55:17

Wyłącz avahi - to pewnie generuje taki ruch

kayo · 2010-06-08 21:06:16

qluk napisał(-a):
Broadcasty? SMB nie uzywa.

Używa do rozwiązywania nazw.

saiqard · 2010-06-09 08:38:24

ten adres jest adresem, jaki windows przydziela kiedy nie dostanie adresu od DHCP.
A z końcówką 255.255 do broadcast

dowoszek · 2010-06-09 10:05:22

Nie korzystam z avahi. Zainstalowane mam tylko 3 biblioteki libavahi.

saiqard napisał(-a):
ten adres jest adresem, jaki windows przydziela kiedy nie dostanie adresu od DHCP.
A z końcówką 255.255 do broadcast

I co z tego wynika?

Włączam dzisiaj komputer i od razu widzę tren transfer. Teraz już zniknął. Zaczyna mnie to martwić :(

Minio · 2010-06-09 12:37:37

dowoszek: jeśli zidentyfikowałeś ten transfer jako transfer od swojego dostawcy łącza, to dlaczego po prostu do niego nie zadzwonisz i nie zapytasz? W końcu w cenie usługi masz helpdesk — łaski nie robią.

saiqard · 2010-06-09 16:30:24

169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??

dowoszek · 2010-06-10 10:19:23

saiqard napisał(-a):
169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??

Chyba tak należałoby to odczytać (w iftop jest to po prostu wyświetlane jako transfer w jednej linii z:
169.254.255.255 <= 169.254.229.22
Stymże adres źródłowy z tego co zauważyłem zmienia się z każdą 'sesją' takiej aktywności łącza na 169.254.x.y

kayo · 2010-06-10 23:29:09

dowoszek napisał(-a):
saiqard napisał(-a):
169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??
Chyba tak należałoby to odczytać (w iftop jest to po prostu wyświetlane jako transfer w jednej linii z:
169.254.255.255 <= 169.254.229.22
Stymże adres źródłowy z tego co zauważyłem zmienia się z każdą 'sesją' takiej aktywności łącza na 169.254.x.y

Czy wyłączyłeś avahi tak jak ci pisalem?

tomii · 2010-06-11 06:36:47

Na którym interfejsie masz ten ruch (znaczy czy dobrze widzę że man sieciówe do lan )?

Forum Debian Users Gang

Ogłoszenie

#1 2010-06-04 10:28:50

dowoszek - Użytkownik

Transfer znikąd?

#2 2010-06-04 10:39:35

saiqard - Użytkownik

Re: Transfer znikąd?

#3 2010-06-04 11:39:25

Minio - Użyszkodnik

Re: Transfer znikąd?

#4 2010-06-04 12:59:23

sigo - Użytkownik

Re: Transfer znikąd?

Kod:

#5 2010-06-04 13:29:30

dowoszek - Użytkownik

Re: Transfer znikąd?

#6 2010-06-04 15:35:43

sigo - Użytkownik

Re: Transfer znikąd?

#7 2010-06-05 19:54:23

bobycob - Członek z Ramienia

Re: Transfer znikąd?

#8 2010-06-05 21:33:51

qluk - Pan inż. Cyc

Re: Transfer znikąd?

#9 2010-06-08 14:58:00

dowoszek - Użytkownik

Re: Transfer znikąd?

#10 2010-06-08 16:48:51

saiqard - Użytkownik

Re: Transfer znikąd?

#11 2010-06-08 20:22:03

dowoszek - Użytkownik

Re: Transfer znikąd?

Kod:

#12 2010-06-08 20:55:17

kayo - Członek DUG

Re: Transfer znikąd?

#13 2010-06-08 21:06:16

kayo - Członek DUG

Re: Transfer znikąd?

qluk napisał(-a):

#14 2010-06-09 08:38:24

saiqard - Użytkownik

Re: Transfer znikąd?

#15 2010-06-09 10:05:22

dowoszek - Użytkownik

Re: Transfer znikąd?

saiqard napisał(-a):

#16 2010-06-09 12:37:37

Minio - Użyszkodnik

Re: Transfer znikąd?

#17 2010-06-09 16:30:24

saiqard - Użytkownik

Re: Transfer znikąd?

#18 2010-06-10 10:19:23

dowoszek - Użytkownik

Re: Transfer znikąd?

saiqard napisał(-a):

#19 2010-06-10 23:29:09

kayo - Członek DUG

Re: Transfer znikąd?

dowoszek napisał(-a):

saiqard napisał(-a):

#20 2010-06-11 06:36:47

tomii - Członek DUG

Re: Transfer znikąd?

Stopka forum