Siduction Forum
Siduction Forum => Software - Support => Topic started by: Lanzi on 2010/12/02, 01:24:21
-
Schaut mal kurz hier: (http://hoffmeister.it/netzwerkaktivitaet.png)
Kann mir nicht erklären was es sein könnte. ist immer da.
netstat liefert mir recht viele ports mit "@/tmp/dbus-TS4brzMDB8"
Bin ich gehackt wurden oder ist das was anderes???[/img]
-
dbus ist ein Weg der lokalen Interprozesskommunikation, also keine Sorge. Da ist alles in Ordnung.
Ich kenne gerade nicht den genauen Befehl, aber netstat zeigt auch an, ob der Verkehr lokal läuft oder nicht.
Falls du wirklich wissen willst (also auch allgemein), ob da Datenverkehr nach außen läuft oder von da kommt, kann man den Verkehr auch detailliert untersuchen zB mittels Wireshark, aber das ist nichts für Laien, aber sollte für einen Überblick reichen.
-
Hi Lanzi,
was liefert den netstat für offene Ports?
# alle Programme im Status listing werden aufgelistet
# netstat --tcp --listening --programs
-
...it "@/tmp/dbus-TS4brzMDB8"
Hi Lanzi,
die habe ich auch, wobei sich dieser mehrfach wiederholt, jeweils mit anderem I-Node. Über die PID in htop gibt es auch nur rudimentäre Info.
Bin mal gespannt, was die Experten sagen. Klasse wäre es, wenn man die ganzen Prozesse mal entschlüsseln und zuordnen könnte.
Vielleicht weiß jemand da einen Weg (ohne hundertfach gugl zu bemühen)?
-
Hier die AUsgabe von
#netstat --tcp --listening --programs
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:9000 *:* LISTEN 2338/perl
tcp 0 0 *:sunrpc *:* LISTEN 1720/portmap
tcp 0 0 *:43152 *:* LISTEN 1732/rpc.statd
tcp 0 0 localhost:ipp *:* LISTEN 2179/cupsd
tcp 0 0 *:3483 *:* LISTEN 2338/perl
tcp 0 0 *:9090 *:* LISTEN 2338/perl
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN 2179/cupsd
Wenn das normal ist, dann frage ich mich, warum ich es erst seit zwei drei Tagen bemerke...
Ist das Messtool genauer geworden? Es liegt ja alles im Bereich von wenigen kBits
EDIT by bluelupo: quote-Tags durch code-Tags ersetzt
-
dinge in der art wie "/tmp/dbus-TS4brzMDB8" sind sockets. sockets sind in dem fall anknüpfungspunkte sn den bus. je mehr man gerade mit kde macht, desto mehr sockets werden bei bedarf erzeugt. der netzwerkverkehr, der da generiert wird, ist kommunikation auf localhost und unbedenklich. das sollte allerdings auch nicht neu sein.
wenn du dir die 1. spalte von netstat anschaust, steht bei den ganzen sockets obendrüber:Aktive Sockets in der UNIX-Domäne (Server und stehende Verbindungen
und in der 1. spalte jeweils UNIX, was bedeutet, das gnze findet auf deinem rechner statt. es gibt keine FOREIGN ADRESS, wie bei den ausgehenden verbindungen.
greetz
devil
-
Hi Lanzi,
ist alles unbedenklich, weil nur lokale Dienste :-)
-
also die offen port 9000, 3483, und 9090 finde ich komisch und sind tedenziell auch von außen zu erreichen, weil ka ein * alle ip adressen zulässt. Du kannst dir ja mal anschauen, was für ein perl script sich dahinter verbirgt: /proc/2338/cmdline
Auch die udp verbindungen können ganz interessant sein. Ich nutzte netstat immer so: "netstat -tulpen" <- tulpen sind schön ;) auch eine einzelne tulpe ist schön...
Desweitern gibt es das großartige tool iptstate (im Paket iptstate) damit lassen sich die momentanten Verbindungen sehen.
Übrigends Sockets erzeugen kein Netzverktraffik, kann also den hohen Traffik nicht erklären.
-
/proc/2338/cmdline
zeugt Scripte, welche zum Squeezeserver/ Squeezebox (musicplayer, der angebunden ist) gehören.
Ich habe die squeezebox aber seit Jahren dran und hatte diesen Traffic noch nie. Ein update vom squeezeserverdiesnt hatte ich seit MOnaten nicht vorgenommen, also es kann sich dort nichts geändert haben.
netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:9000 0.0.0.0:* LISTEN 107 7197 2338/perl
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 4982 1720/portmap
tcp 0 0 0.0.0.0:43152 0.0.0.0:* LISTEN 108 5029 1732/rpc.statd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 14247986 2179/cupsd
tcp 0 0 0.0.0.0:3483 0.0.0.0:* LISTEN 107 7181 2338/perl
tcp 0 0 0.0.0.0:9090 0.0.0.0:* LISTEN 107 7184 2338/perl
tcp6 0 0 ::1:631 :::* LISTEN 0 14247985 2179/cupsd
udp 0 0 0.0.0.0:3483 0.0.0.0:* 107 7180 2338/perl
udp 0 0 0.0.0.0:56877 0.0.0.0:* 107 7186 2338/perl
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 5242 2396/dhclient
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 4981 1720/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 14247989 2179/cupsd
udp 0 0 0.0.0.0:637 0.0.0.0:* 0 5017 1732/rpc.statd
udp 0 0 0.0.0.0:54085 0.0.0.0:* 108 5026 1732/rpc.statd
-
Dann weiß ich auch nicht. Wie gesagt, nutzt mal iptstate um zu schauen, welche Verbindungen gerade offen sind, damit solltest du eigentlich den dienst rausbekommen, der die Verbindungen hält und wohin diese gehen. Ansonsten halt wireshark/tcpdump um wirklich in den Traffic reinzuschauen.
-
ja, ich werde mal schauen. Danke für die Hilfe!