Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Seltsame Netzwerkaktivität seit DU vor 3 Tagen  (Read 4566 times)

Offline Lanzi

  • User
  • Posts: 1.781
[DE] Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« on: 2010/12/02, 01:24:21 »
Schaut mal kurz hier:

Kann mir nicht erklären was es sein könnte. ist immer da.

netstat liefert mir recht viele ports mit "@/tmp/dbus-TS4brzMDB8"

Bin ich gehackt wurden oder ist das was anderes???[/img]

Offline gerd

  • User
  • Posts: 147
Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #1 on: 2010/12/02, 07:47:48 »
dbus ist ein Weg der lokalen Interprozesskommunikation, also keine Sorge. Da ist alles in Ordnung.
Ich kenne gerade nicht den genauen Befehl, aber netstat zeigt auch an, ob der Verkehr lokal läuft oder nicht.
Falls du wirklich wissen willst (also auch allgemein), ob da Datenverkehr nach außen läuft oder von da kommt, kann man den Verkehr auch detailliert untersuchen zB mittels Wireshark, aber das ist nichts für Laien, aber sollte für einen Überblick reichen.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #2 on: 2010/12/02, 07:51:11 »
Hi Lanzi,
was liefert den netstat für offene Ports?
Code: [Select]

# alle Programme im Status listing werden aufgelistet
# netstat --tcp --listening --programs

mylo

  • Guest
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #3 on: 2010/12/02, 07:59:44 »
Quote from: "Lanzi"
...it "@/tmp/dbus-TS4brzMDB8"


Hi Lanzi,
die habe ich auch, wobei sich dieser mehrfach wiederholt, jeweils mit anderem I-Node. Über die PID in htop gibt es auch nur rudimentäre Info.

Bin mal gespannt, was die Experten sagen. Klasse wäre es, wenn man die ganzen Prozesse mal entschlüsseln und zuordnen könnte.

Vielleicht weiß jemand da einen Weg (ohne hundertfach gugl zu bemühen)?

Offline Lanzi

  • User
  • Posts: 1.781
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #4 on: 2010/12/02, 09:19:41 »
Hier die AUsgabe von
#netstat --tcp --listening --programs

Code: [Select]

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:9000                  *:*                     LISTEN      2338/perl      
tcp        0      0 *:sunrpc                *:*                     LISTEN      1720/portmap    
tcp        0      0 *:43152                 *:*                     LISTEN      1732/rpc.statd  
tcp        0      0 localhost:ipp           *:*                     LISTEN      2179/cupsd      
tcp        0      0 *:3483                  *:*                     LISTEN      2338/perl      
tcp        0      0 *:9090                  *:*                     LISTEN      2338/perl      
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN      2179/cupsd  


Wenn das normal ist, dann frage ich mich, warum ich es erst seit zwei drei Tagen bemerke...
Ist das Messtool genauer geworden? Es liegt ja alles im Bereich von wenigen kBits

EDIT by bluelupo: quote-Tags durch code-Tags ersetzt

Offline devil

  • Administrator
  • User
  • *****
  • Posts: 4.844
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #5 on: 2010/12/02, 09:33:32 »
dinge in der art wie "/tmp/dbus-TS4brzMDB8" sind sockets. sockets sind in dem fall anknüpfungspunkte sn den bus. je mehr man gerade mit kde macht, desto mehr sockets werden bei bedarf erzeugt. der netzwerkverkehr, der da generiert wird, ist kommunikation auf  localhost und unbedenklich. das sollte allerdings auch nicht neu sein.
wenn du dir die 1. spalte von netstat anschaust, steht bei den ganzen sockets obendrüber:
Code: [Select]
Aktive Sockets in der UNIX-Domäne (Server und stehende Verbindungenund in der 1. spalte jeweils UNIX, was bedeutet, das gnze findet auf deinem rechner statt. es gibt keine FOREIGN ADRESS, wie bei den ausgehenden verbindungen.

greetz
devil

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #6 on: 2010/12/02, 13:14:04 »
Hi Lanzi,
ist alles unbedenklich, weil nur lokale Dienste :-)

hefee

  • Guest
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #7 on: 2010/12/02, 13:16:25 »
also die offen port 9000, 3483, und 9090 finde ich komisch und sind tedenziell auch von außen zu erreichen, weil ka ein * alle ip adressen zulässt. Du kannst dir ja mal anschauen, was für ein perl script sich dahinter verbirgt: /proc/2338/cmdline

Auch die udp verbindungen können ganz interessant sein. Ich nutzte netstat immer so: "netstat -tulpen" <- tulpen sind schön ;) auch eine einzelne tulpe ist schön...

Desweitern gibt es das großartige tool iptstate (im Paket iptstate) damit lassen sich die momentanten Verbindungen sehen.

Übrigends Sockets erzeugen kein Netzverktraffik, kann also den hohen Traffik nicht erklären.

Offline Lanzi

  • User
  • Posts: 1.781
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #8 on: 2010/12/02, 14:08:29 »
/proc/2338/cmdline
zeugt Scripte, welche zum Squeezeserver/ Squeezebox (musicplayer, der angebunden ist) gehören.
Ich habe die squeezebox aber seit Jahren dran und hatte diesen Traffic noch nie. Ein update vom squeezeserverdiesnt hatte ich seit MOnaten nicht vorgenommen, also es kann sich dort nichts geändert haben.

netstat -tulpen
Quote

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:9000            0.0.0.0:*               LISTEN      107        7197        2338/perl      
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          4982        1720/portmap    
tcp        0      0 0.0.0.0:43152           0.0.0.0:*               LISTEN      108        5029        1732/rpc.statd  
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          14247986    2179/cupsd      
tcp        0      0 0.0.0.0:3483            0.0.0.0:*               LISTEN      107        7181        2338/perl      
tcp        0      0 0.0.0.0:9090            0.0.0.0:*               LISTEN      107        7184        2338/perl      
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          14247985    2179/cupsd      
udp        0      0 0.0.0.0:3483            0.0.0.0:*                           107        7180        2338/perl      
udp        0      0 0.0.0.0:56877           0.0.0.0:*                           107        7186        2338/perl      
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          5242        2396/dhclient  
udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          4981        1720/portmap    
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          14247989    2179/cupsd      
udp        0      0 0.0.0.0:637             0.0.0.0:*                           0          5017        1732/rpc.statd  
udp        0      0 0.0.0.0:54085           0.0.0.0:*                           108        5026        1732/rpc.statd  


hefee

  • Guest
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #9 on: 2010/12/02, 14:26:23 »
Dann weiß ich auch nicht. Wie gesagt, nutzt mal iptstate um zu schauen, welche Verbindungen gerade offen sind, damit solltest du eigentlich den dienst rausbekommen, der die Verbindungen hält und wohin diese gehen. Ansonsten halt wireshark/tcpdump um wirklich in den Traffic reinzuschauen.

Offline Lanzi

  • User
  • Posts: 1.781
Re: Seltsame Netzwerkaktivität seit DU vor 3 Tagen
« Reply #10 on: 2010/12/02, 16:52:21 »
ja, ich werde mal schauen. Danke für die Hilfe!