Forum Debian Users Gang

dowoszek · 2010-06-04 10:28:50

Witam,
Właśnie obserwuję dziwne zjawisko na moim kompie. Non-stop pobierane są jakieś dane z prędkością około 60KB/s... tyle, że nie mam pojęcia co to za dane. Nie są to na pewno żadne automatyczne aktualizacje, bo wszystko mam wyłączone, środowisko fluxbox, polecenie "netstat -tup" nic nie wyświetla, przelogowanie się nic nie daje, także wygląda mi, że to coś ciągnie się z root'a... Co to może być?

Ostatnio edytowany przez dowoszek (2010-06-04 10:29:57)

saiqard · 2010-06-04 10:39:35

netstat'em możesz zobaczyć aktywne połączenia z internetem

Minio · 2010-06-04 11:39:25

[url=http://packages.debian.org/sid/iftop]iftop[/url] podpowie Ci skąd ten transfer jest (IP, [i]resolved name[/i]). [url=http://packages.debian.org/sid/lsof]lsof[/url] pokaże otwarte połączenia TCP i wskaże proces który ich używa.

sigo · 2010-06-04 12:59:23

60KiB/s to spora ilość danych. Może są to niedomknięte połączenia protokołu bittorent. Nie obstawiał bym na sshd, gdyż nie generuje to takiego ruchu. W skrajnym przypadku możesz być podłączony do jakiegoś botnetu, a komputer może funkcjonować jako zombie.
Dowiedz się więcej na temat połączeń i daj znać.

Przy okazji - jeżeli masz uruchomiony sshd, sprawdź sobie (z roota):

Kod:

grep -i 'sshd.*fail' sciezka-dostepu-do-logow-sshd | tail -n 20

Ostatnio edytowany przez sigo (2010-06-04 13:02:39)

dowoszek · 2010-06-04 13:29:30

W tym momencie nie mogę już sprawdzić, bo po restarcie nie ma tego transferu. Nie korzystam z ssh ani torrentów.
A czy mógł to spowodować dostawca internetu (Dialog)?

sigo · 2010-06-04 15:35:43

Raczej mało prawdopodobnie (nawet nie widzę sensu takiego działania), gdyż ruch występował pomiędzy jakąś maszyną a Twoim komputerem. Może jakaś chwilowa anomalia - złośliwe boty lub coś w tym rodzaju.

Na przyszłość, spisz szybko listę połączeń oraz spróbuj przechwycić treść pakietów tego [i]dziwnego transferu[/i] - możesz użyć [b]wiresharka[/b] i o ile się nie mylę [b]tcpdump[/b].

Ostatnio edytowany przez sigo (2010-06-04 15:37:03)

bobycob · 2010-06-05 19:54:23

Może jesteś podłączony do jakiejś dużej sieci ethernet i słychać aż tyle broadcastów :)
DHCP, SMB, ARP itd.

Ostatnio edytowany przez bobycob (2010-06-05 19:54:46)

qluk · 2010-06-05 21:33:51

Przyczyna moze byc tylko i wylacznie uzytkownik.
Broadcasty? SMB nie uzywa.

dowoszek · 2010-06-08 14:58:00

Wygląda na to, że mam coś źle skonfigurowane?
iftop pokazuje mi ten transfer jako:
169.254.255.255 <= 169.254.229.22

Jest to internet z Dialogu (pppoe, zmienne ip, bez dhcp). Ktoś się pokusi o interpretację, bo ja słabiuśko w tym temacie?

saiqard · 2010-06-08 16:48:51

pokaż ifconfig

dowoszek · 2010-06-08 20:22:03

Z tego co udało mi się wyguglać, to te adresy są powiązane z DHCP. Moje łącze niby nie korzysta z tego.

Kod:

eth0      Link encap:Ethernet  HWaddr 00:13:f6:29:cd:ba  
          inet6 addr: fe80::213:f6ff:ff39:cdba/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:35270 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1391 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:5472088 (5.2 MiB)  TX bytes:121230 (118.3 KiB)
          Interrupt:11 Base address:0xc000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:87.Y.X.18  P-t-P:87.Y.X.1  Mask:255.255.255.255 <----tutaj iksy i igreki moje ;)
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1907 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1368 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:1808169 (1.7 MiB)  TX bytes:89581 (87.4 KiB)

Ostatnio edytowany przez dowoszek (2010-06-08 20:26:27)

kayo · 2010-06-08 20:55:17

Wyłącz avahi - to pewnie generuje taki ruch

kayo · 2010-06-08 21:06:16

[quote=qluk]Broadcasty? SMB nie uzywa.[/quote]
Używa do rozwiązywania nazw.

saiqard · 2010-06-09 08:38:24

ten adres jest adresem, jaki windows przydziela kiedy nie dostanie adresu od DHCP.
A z końcówką 255.255 do broadcast

dowoszek · 2010-06-09 10:05:22

Nie korzystam z avahi. Zainstalowane mam tylko 3 biblioteki libavahi.
[quote=saiqard]ten adres jest adresem, jaki windows przydziela kiedy nie dostanie adresu od DHCP.
A z końcówką 255.255 do broadcast[/quote]
I co z tego wynika?

Włączam dzisiaj komputer i od razu widzę tren transfer. Teraz już zniknął. Zaczyna mnie to martwić :(

Minio · 2010-06-09 12:37:37

dowoszek: jeśli zidentyfikowałeś ten transfer jako transfer od swojego dostawcy łącza, to dlaczego po prostu do niego nie zadzwonisz i nie zapytasz? W końcu w cenie usługi masz helpdesk — łaski nie robią.

saiqard · 2010-06-09 16:30:24

169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??

dowoszek · 2010-06-10 10:19:23

[quote=saiqard]169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??[/quote]
Chyba tak należałoby to odczytać (w iftop jest to po prostu wyświetlane jako transfer w jednej linii z:
169.254.255.255 <= 169.254.229.22
Stymże adres źródłowy z tego co zauważyłem zmienia się z każdą 'sesją' takiej aktywności łącza na 169.254.x.y

kayo · 2010-06-10 23:29:09

[quote=dowoszek][quote=saiqard]169.254.229.22 --> to jest adres źródłowy dla pakietów przychodzących z internetu? a docelowym jest: 169.254.255.255??[/quote]
Chyba tak należałoby to odczytać (w iftop jest to po prostu wyświetlane jako transfer w jednej linii z:
169.254.255.255 <= 169.254.229.22
Stymże adres źródłowy z tego co zauważyłem zmienia się z każdą 'sesją' takiej aktywności łącza na 169.254.x.y[/quote]
Czy wyłączyłeś avahi tak jak ci pisalem?

tomii · 2010-06-11 06:36:47

Na którym interfejsie masz ten ruch (znaczy czy dobrze widzę że man sieciówe do lan )?

Time (s)	Query
0.00009	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00124	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.102.108' WHERE u.id=1
0.00075	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.102.108', 1734515096)
0.00046	SELECT * FROM punbb_online WHERE logged<1734514796
0.00058	DELETE FROM punbb_online WHERE ident='185.191.171.15'
0.00061	DELETE FROM punbb_online WHERE ident='3.149.244.229'
0.00081	SELECT topic_id FROM punbb_posts WHERE id=149639
0.00006	SELECT id FROM punbb_posts WHERE topic_id=16991 ORDER BY posted
0.00115	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16991 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00419	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16991 ORDER BY p.id LIMIT 0,25
0.00088	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16991
Total query time: 0.01092 s

Forum Debian Users Gang

Ogłoszenie

#1 2010-06-04 10:28:50

dowoszek - Użytkownik

Transfer znikąd?

#2 2010-06-04 10:39:35

saiqard - Użytkownik

Re: Transfer znikąd?

#3 2010-06-04 11:39:25

Minio - Użyszkodnik

Re: Transfer znikąd?

#4 2010-06-04 12:59:23

sigo - Użytkownik

Re: Transfer znikąd?

Kod:

#5 2010-06-04 13:29:30

dowoszek - Użytkownik

Re: Transfer znikąd?

#6 2010-06-04 15:35:43

sigo - Użytkownik

Re: Transfer znikąd?

#7 2010-06-05 19:54:23

bobycob - Członek z Ramienia

Re: Transfer znikąd?

#8 2010-06-05 21:33:51

qluk - Pan inż. Cyc

Re: Transfer znikąd?

#9 2010-06-08 14:58:00

dowoszek - Użytkownik

Re: Transfer znikąd?

#10 2010-06-08 16:48:51

saiqard - Użytkownik

Re: Transfer znikąd?

#11 2010-06-08 20:22:03

dowoszek - Użytkownik

Re: Transfer znikąd?

Kod:

#12 2010-06-08 20:55:17

kayo - Członek DUG

Re: Transfer znikąd?

#13 2010-06-08 21:06:16

kayo - Członek DUG

Re: Transfer znikąd?

#14 2010-06-09 08:38:24

saiqard - Użytkownik

Re: Transfer znikąd?

#15 2010-06-09 10:05:22

dowoszek - Użytkownik

Re: Transfer znikąd?

#16 2010-06-09 12:37:37

Minio - Użyszkodnik

Re: Transfer znikąd?

#17 2010-06-09 16:30:24

saiqard - Użytkownik

Re: Transfer znikąd?

#18 2010-06-10 10:19:23

dowoszek - Użytkownik

Re: Transfer znikąd?

#19 2010-06-10 23:29:09

kayo - Członek DUG

Re: Transfer znikąd?

#20 2010-06-11 06:36:47

tomii - Członek DUG

Re: Transfer znikąd?

Stopka forum

Informacje debugowania