Ist sowas noch normal
Ist sowas noch normal
Hallo Leute,
bin de Martin und hab mich grad hier registriert. War mal S-mod im Opensuse-Forum und kenne mich eigentlich Recht gut mit Linux aus.
da ich seit ca 1/2 - 1 jahr sehr viele Netzwerkprobleme habe und mittlerweile auch schon den Betreiber gewechselt habe, die Polizei eingeschaltet uvm. habe ich mich mal sehr stark mit der Netzwerk thematik befasst. U.a. ist die Einrichtung (für einen User-System) ziemlich übertrieben.
Habe keine Server, SSH oder sonstige Dienste am laufen, die sowas rechtfertigen würden. (Meiner Meinung nach) Netzwerk ist mittlerweile mit arno-iptables + psad + fwsnort und fail2ban eingerichtet und funktioniert auch sehr gut. Es wird schon täglich der Hostname und die Pw gewechselt, manchmal mehrmals am Tag, das ich überhaupt Internet benutzen kann. Bin nur noch stolzer Surfstick Surfer aber egal was ich mache (die haben´s voll auf mich abgesehen.
Naja die grundsätzliche Frage die habe, ist :
Edit : Polizei wurde eingeschaltet da sich bei mir jemand unerlaubt Zugriff verschafft hat und ich zusehen konnte wie sich VPN Ports öffneten und wieder geschlossen haben, direkt darauf wurden sogar die log Dateien gelöscht, und ich konnte selbst als root nichts mehr machen, ausser den Ausschaltknopf für 4Sek. drücken.
Ist das NORMAL ???
Sry, finde kein Button für Dateien hier
36011
bin de Martin und hab mich grad hier registriert. War mal S-mod im Opensuse-Forum und kenne mich eigentlich Recht gut mit Linux aus.
da ich seit ca 1/2 - 1 jahr sehr viele Netzwerkprobleme habe und mittlerweile auch schon den Betreiber gewechselt habe, die Polizei eingeschaltet uvm. habe ich mich mal sehr stark mit der Netzwerk thematik befasst. U.a. ist die Einrichtung (für einen User-System) ziemlich übertrieben.
Habe keine Server, SSH oder sonstige Dienste am laufen, die sowas rechtfertigen würden. (Meiner Meinung nach) Netzwerk ist mittlerweile mit arno-iptables + psad + fwsnort und fail2ban eingerichtet und funktioniert auch sehr gut. Es wird schon täglich der Hostname und die Pw gewechselt, manchmal mehrmals am Tag, das ich überhaupt Internet benutzen kann. Bin nur noch stolzer Surfstick Surfer aber egal was ich mache (die haben´s voll auf mich abgesehen.
Naja die grundsätzliche Frage die habe, ist :
Edit : Polizei wurde eingeschaltet da sich bei mir jemand unerlaubt Zugriff verschafft hat und ich zusehen konnte wie sich VPN Ports öffneten und wieder geschlossen haben, direkt darauf wurden sogar die log Dateien gelöscht, und ich konnte selbst als root nichts mehr machen, ausser den Ausschaltknopf für 4Sek. drücken.
Ist das NORMAL ???
Sry, finde kein Button für Dateien hier
36011
Zuletzt geändert von Saxman am 25.10.2011 07:48:11, insgesamt 4-mal geändert.
Grund: Nach NoPaste verschoben
Grund: Nach NoPaste verschoben
- Saxman
- Beiträge: 4215
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: Ist sowas noch normal
Du bist hier neu also kennst du dich noch nicht hier aus, deswegen will ich dich mal auf grundsätzliche Verhaltensregeln hier im Forum hinweisen. Zum einen gehören längere Code Schnipsel wie du sie postest bei uns nach NoPaste, thread bumping ist erst nach 24 Stunden ok und rot bleibt hier als Farbe Mods vorbehalten.
Abgesehen davon solltest du deine Frage auch sinnvoll formulieren. Das heißt einen vernünftigen Titel wählen und das Problem eingrenzen und beschreiben. Für einen wie du schreibst ehemaligen Mod, ist das hier ein schlechter Einstand, aber es ist ja noch früh am Morgen, vielleicht liegt es ja daran.
Abgesehen davon solltest du deine Frage auch sinnvoll formulieren. Das heißt einen vernünftigen Titel wählen und das Problem eingrenzen und beschreiben. Für einen wie du schreibst ehemaligen Mod, ist das hier ein schlechter Einstand, aber es ist ja noch früh am Morgen, vielleicht liegt es ja daran.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: Ist sowas noch normal
soo kannst du uns jetzt bitte nochmal genau sagen was dein problem ist?!
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: Ist sowas noch normal
Mein Problem besteht darin das jedesmal wenn ich mein Internet benutzen will ich sofort ein Portscan nachdem anderen gemacht bekomme und dadurch mein internet extrem langsam ist, bzw. der Seitenaufbau bis zu 5min. dauert, oder die Meldung kommt "Seite kann nicht angezeigt werden"
Ändere ich mein Hostname kann ich es meistens 15min. benutzen bis es wieder anfängt mit den Portscans und Unprivilegierten Connect Attempts. Und das zu jeder Tages und Nachtzeit.
Ebenso kann ich keine Skype gespräche führen oder sonst noch was. I-net ist ständig ausgelastet.
Gibt es da noch Vorschläge ?
Ändere ich mein Hostname kann ich es meistens 15min. benutzen bis es wieder anfängt mit den Portscans und Unprivilegierten Connect Attempts. Und das zu jeder Tages und Nachtzeit.
Ebenso kann ich keine Skype gespräche führen oder sonst noch was. I-net ist ständig ausgelastet.
Gibt es da noch Vorschläge ?
Re: Ist sowas noch normal
Tja, ich hab zwar kaum Ahnung vom Thema Netzwerk, aber hast Du mal dran gedacht, dass Dein System korrumpiert ist und es daher egal ist, welchen Provider Du nutzt? Schonmal eine Live-CD ausprobiert und dann geschaut, ob es besser wird?phantom24 hat geschrieben: habe ich mich mal sehr stark mit der Netzwerk thematik befasst.
benebeck
The Flying Spaghetti Monster - Touched by His noodly appendage
Re: Ist sowas noch normal
ich verstehe nicht ganz.
haengst du direkt mit einer externen ip am internet? oder hinter einem router via NAT? wenn ersteres, dann ja
es ist ziemlich normal, weil millionen von bots staendig auf zufall alle ip abscannen.
wenn das ein lokales netzwerk ist ( NAT ) und da noch andere (WIndows/Mac) Teilnehmer sind, sind die "portscans" vermutlich einfach suche nach shared folders etc.
das portscans deine internetverbindung verlangsamen glaub ich nicht ganz. eher verlangsamt skype dein netzwerk.
haengst du direkt mit einer externen ip am internet? oder hinter einem router via NAT? wenn ersteres, dann ja
es ist ziemlich normal, weil millionen von bots staendig auf zufall alle ip abscannen.
wenn das ein lokales netzwerk ist ( NAT ) und da noch andere (WIndows/Mac) Teilnehmer sind, sind die "portscans" vermutlich einfach suche nach shared folders etc.
das portscans deine internetverbindung verlangsamen glaub ich nicht ganz. eher verlangsamt skype dein netzwerk.
Re: Ist sowas noch normal
nun da ich mittlerweile Win XP, Win Vista, Win7, suse 11.1 - 11.4 und Debian 6.0.1 sowie debian 6.0.2 alles durch habe und überall ist es dasselbe Problem.Die Polizei auch nicht helfen kann/konnte ebenso der Provider nur längere anfragen festellen kann, dachte ich auch schon an sowas wie Hw-Keylogger o.ä. Hab auch schon ne neue HDD & Arbeitsspeicher gekauft, WLAN-Karte, Mikrofon und Kamera aus dem Laptop ausgebaut da immer wenn ich es benutzen wollte, angeblich schon das Device belegt ist und erst nach einem Neustart (wenn ich schnell war) funktionierte.
Habe auch schon diverse Videos über Men in the middle angriffe gesehen, und dementsprechend läuft mittlerweile wirklich nur noch das absolut notwendigste, aber das mit den Portscan´s habe ich auch mit allen Möglichen tutorial´ s probiert zu unterbinden, aber scheinbar gibt es nicht wirklich etwas gegen diese stealth-scan.
Bin absolut ratlos was ich noch machen.
Dies war auch der Grund warum ich nicht mehr als Mod aktiv sein kann seit ca einem Jahr
.
edit :
gehe mittlerweile mit einem Surfstick ins internet und Skype ist nur nach bedarf mal an, da es nicht richtig funktioniert. habe mittlerweile auch mit der Freundin mal selber mit nmap getestet und weis daher das so ein Scan schon ziemlich dass System lahmlegt, aber das komische für mich ist ja, dass es soviele verschiedene IP´s sind die mich abscannen, Bei verschiedenen traceroute programmen finden diese dann in z.B. Bulgarien, Afrika, Russland usw. Können auch evtl. TOR oder andere VPN server sein.
Habe auch schon diverse Videos über Men in the middle angriffe gesehen, und dementsprechend läuft mittlerweile wirklich nur noch das absolut notwendigste, aber das mit den Portscan´s habe ich auch mit allen Möglichen tutorial´ s probiert zu unterbinden, aber scheinbar gibt es nicht wirklich etwas gegen diese stealth-scan.
Bin absolut ratlos was ich noch machen.
Dies war auch der Grund warum ich nicht mehr als Mod aktiv sein kann seit ca einem Jahr
.
edit :
gehe mittlerweile mit einem Surfstick ins internet und Skype ist nur nach bedarf mal an, da es nicht richtig funktioniert. habe mittlerweile auch mit der Freundin mal selber mit nmap getestet und weis daher das so ein Scan schon ziemlich dass System lahmlegt, aber das komische für mich ist ja, dass es soviele verschiedene IP´s sind die mich abscannen, Bei verschiedenen traceroute programmen finden diese dann in z.B. Bulgarien, Afrika, Russland usw. Können auch evtl. TOR oder andere VPN server sein.
Re: Ist sowas noch normal
naja, doch. wenn dein computer hinter einem router im NAT haengt werden dich portscans kaum erreichen, ausser sie kommen aus dem lokalen netzwerk.aber scheinbar gibt es nicht wirklich etwas gegen diese stealth-scan.
??Dies war auch der Grund warum ich nicht mehr als Mod aktiv sein kann seit ca einem Jahr
- schorsch_76
- Beiträge: 2535
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Ist sowas noch normal
Hi,
persönlich würde ich einfach mal wireshark installieren und auf der Netzwerkkarte lauschen.
Alle andere Anwendungen lässt du aus. Nachdem sich einiges in deinem Wireshark log angesammelt hat, stoppst du das capturing und trennst das Internet.
Lass dir eine Statistik raus, von wo die Angriffe kommen erstellen.
Wähle dich erneut ein und starte soft den Wireshark. Lass nochmals für etwa die selbe Zeit das capturing laufen und trenne dann erneut die INet Verbindung. Ebenfalls Statistik machen woher die Angriffe kommen.
Kuck auch, was für Packete wohin geschickt werden von deinem Rechner aus. Evtl. hast du ja ein Rootkit drauf. Das sollte sich im "reinen Netzwerkverkehr" nicht verstecken können. Idealerweise würde man das capturing auf einem anderen Rechner zwischen dir und dem Inet machen, da hier ein eventuelles Schadprogramm nichts manipulieren kann.
Schickt dein Rechner immer an eine IP ein paar Packete ins Internet und danach fängt das Dilemma an, hast du vermutlich ein Rootkit/Trojaner/whatever drauf. Hier könnte man dann ansetzen und prüfen wo diese IP liegt. Auch wäre möglich, da du ja einen Surfstick nutzt, dass jemand anderes im 10.x.x.x er Netz, das die meisten Surfstick Betreiber nutzen, einfach breit scannt und dann dich eben trifft.
Was aber wichtig ist, dass du ein Muster erkennst, was da los ist. Über die IPs kann u.U. die Polizei dann mehr machen (solange der Angreifer nicht im Ausland sitzt).
Gruß und viel Erfolg
schorsch
[1] Tutorial zu Wireshark: http://www.nwlab.net/tutorials/wireshark/
persönlich würde ich einfach mal wireshark installieren und auf der Netzwerkkarte lauschen.
Alle andere Anwendungen lässt du aus. Nachdem sich einiges in deinem Wireshark log angesammelt hat, stoppst du das capturing und trennst das Internet.
Lass dir eine Statistik raus, von wo die Angriffe kommen erstellen.
Wähle dich erneut ein und starte soft den Wireshark. Lass nochmals für etwa die selbe Zeit das capturing laufen und trenne dann erneut die INet Verbindung. Ebenfalls Statistik machen woher die Angriffe kommen.
Kuck auch, was für Packete wohin geschickt werden von deinem Rechner aus. Evtl. hast du ja ein Rootkit drauf. Das sollte sich im "reinen Netzwerkverkehr" nicht verstecken können. Idealerweise würde man das capturing auf einem anderen Rechner zwischen dir und dem Inet machen, da hier ein eventuelles Schadprogramm nichts manipulieren kann.
Schickt dein Rechner immer an eine IP ein paar Packete ins Internet und danach fängt das Dilemma an, hast du vermutlich ein Rootkit/Trojaner/whatever drauf. Hier könnte man dann ansetzen und prüfen wo diese IP liegt. Auch wäre möglich, da du ja einen Surfstick nutzt, dass jemand anderes im 10.x.x.x er Netz, das die meisten Surfstick Betreiber nutzen, einfach breit scannt und dann dich eben trifft.
Was aber wichtig ist, dass du ein Muster erkennst, was da los ist. Über die IPs kann u.U. die Polizei dann mehr machen (solange der Angreifer nicht im Ausland sitzt).
Gruß und viel Erfolg
schorsch
[1] Tutorial zu Wireshark: http://www.nwlab.net/tutorials/wireshark/
-
- Beiträge: 923
- Registriert: 09.07.2008 11:50:57
- Lizenz eigener Beiträge: MIT Lizenz
Re: Ist sowas noch normal
Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren. (Sieht jedenfalls anhand deiner logs so aus als ob du das machst)
Wenn du ein System grundsätzlich komplett neu aufsetzt, oder unter Umständen erstmal eine live cd nutzt und das gleiche Verhalten auftritt würde ich vielleicht erstmal von Etwas anderem ausgehen als das dich einer hackt bzw das du einen Trojaner drauf hast oder einem DOS unterliegst.
Vielleicht liegt das problem auch gerade an fail2ban mit false positive identification. Oder am surfstick, vielleicht ne drosselung? Was für Programme hast du laufen? Torrent?
Wenn du ein System grundsätzlich komplett neu aufsetzt, oder unter Umständen erstmal eine live cd nutzt und das gleiche Verhalten auftritt würde ich vielleicht erstmal von Etwas anderem ausgehen als das dich einer hackt bzw das du einen Trojaner drauf hast oder einem DOS unterliegst.
Vielleicht liegt das problem auch gerade an fail2ban mit false positive identification. Oder am surfstick, vielleicht ne drosselung? Was für Programme hast du laufen? Torrent?
Re: Ist sowas noch normal
In Deinen nopaste sind 495 Meldungen,
218 bzgl IN=lo, 86 bzgl SPT=53.
Also Antworten Deiner DNS-Server, eine weitere mögliche Ursache für schlechte Performance.
Entsprechende conntrack-Module werden geladen / benutzt?
218 bzgl IN=lo, 86 bzgl SPT=53.
Code: Alles auswählen
$ cat 3601* | egrep "IN=" | egrep "SPT=53 " | egrep -o "SRC=[^ ]*" | sort -n | uniq -c
47 SRC=212.23.97.2
39 SRC=212.23.97.3
$ host 212.23.97.2
2.97.23.212.in-addr.arpa domain name pointer ns01sn1.eplus.de.
$ host 212.23.97.3
3.97.23.212.in-addr.arpa domain name pointer ns02sn1.eplus.de.
Entsprechende conntrack-Module werden geladen / benutzt?
<->Gunman1982 hat geschrieben: oder einem DOS unterliegst.
Was nicht läuft kann nicht geDDOSsed werden.Habe keine Server, SSH oder sonstige Dienste am laufen,
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Ist sowas noch normal
ja, 90% seiner log eintraege sind in der tat einfach packete von lo to lo die von der firewall gedropped werden.Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren. (Sieht jedenfalls anhand deiner logs so aus als ob du das machst)
Re: Ist sowas noch normal
Anstatt wireshark habe ich dies schon mit ettercap überprüft, aber genau blick ich da nicht durch mit diesen ganzen IP´s.Hi,
persönlich würde ich einfach mal Debianwireshark installieren und auf der Netzwerkkarte lauschen.
welche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
Laut RKhunter habe ich keine rootkits drauf, bis 2 warnungen, welche laut google nichts schlimmes ist. Xzibit rootkithast du vermutlich ein Rootkit/Trojaner/whatever drauf.
Diesen Eintrag habe ich erst vor Tagen nachträglich gemacht, da ich mittlerweile absolut ratlos bin.Du solltest vielleicht auch überlegen wie sinnvoll es ist dein loopback device per firewall zu sperren.
Nö es läuft absolut kein Filesharing oder sonstige netzwerk Programme welche traffic verbrauchen würden.Was für Programme hast du laufen? Torrent?
Hier die Ausgabe :Entsprechende conntrack-Module werden geladen / benutzt?
Code: Alles auswählen
lsmod |grep conntrack
nf_conntrack_sip 13546 0
nf_conntrack_ipv4 9833 26 iptable_nat,nf_nat
nf_defrag_ipv4 1139 1 nf_conntrack_ipv4
xt_conntrack 2407 0
nf_conntrack_ftp 5537 0
nf_conntrack 46535 7 nf_conntrack_sip,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state,xt_conntrack,nf_conntrack_ftp
x_tables 12845 18 xt_string,xt_length,xt_dscp,xt_hl,xt_comment,xt_recent,xt_tcpudp,iptable_nat,ip6_tables,xt_DSCP,xt_TCPMSS,ipt_LOG,ipt_REJECT,xt_multiport,xt_state,xt_limit,xt_conntrack,ip_tables
Re: Ist sowas noch normal
66.220.151.99 ist facebookwelche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
- schorsch_76
- Beiträge: 2535
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Ist sowas noch normal
Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. Wireshark kann sehr gut helfen durch den Paketdschungel durchzublicken. Hab gestern ausprobiert, es kann auch von ppp0 Adapter (Surfstick) loggen.phantom24 hat geschrieben:Anstatt wireshark habe ich dies schon mit ettercap überprüft, aber genau blick ich da nicht durch mit diesen ganzen IP´s.
welche IP aber so ziemlich immer auftaucht ist diese 66.220.151.99.
Du kannst IPs ausfiltern von denen du weist was sie sind (bsp. facebook). Über [2] kannst du kucken wo eine IP herkommt bzw wem sie gehört. Du kannst TCP Streams folgen. Klar braucht auch etwas Übung, aber das sollte ja einen Linux Nutzer nicht abschrecken eines seiner Probleme zu lösen
Gruß
schorsch
[1] http://ettercap.sourceforge.net/history.php
[2] http://cqcounter.com/whois/
- whisper
- Beiträge: 3156
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Ist sowas noch normal
Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Und die Sache mit der Live CD?
Und die Sache mit der Live CD?
-
- Beiträge: 923
- Registriert: 09.07.2008 11:50:57
- Lizenz eigener Beiträge: MIT Lizenz
Re: Ist sowas noch normal
Da bei ihm ppp0 in den logs auftaucht würd ich von direkt ausgehen.whisper hat geschrieben:Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Und die Sache mit der Live CD?
Re: Ist sowas noch normal
Ich tippe aufgrund der Adressen im Log auf eine durch den Provider geNATete Verbindung.Gunman1982 hat geschrieben:Da bei ihm ppp0 in den logs auftaucht würd ich von direkt ausgehen.whisper hat geschrieben:Hat der OP schon die Frage nach der Internetverbindung beantwortet? Direkt, oder Router? Welcher Router Irgend welche Port forwarding?
Code: Alles auswählen
$ awk '/ IN=ppp0 / && match($0," DST=[^ ]+ ") { IP[substr($0,RSTART+5,RLENGTH-5)]++ } END { for( i in IP ) printf "%-20s %3d\n",i,IP[i] }' 36011.txt 36012.txt 36013.txt
10.148.50.67 1
10.148.170.231 8
10.147.93.189 2
10.140.9.45 2
10.138.12.166 9
10.157.13.185 4
10.166.21.168 1
10.138.6.140 1
10.177.51.149 3
10.147.200.197 3
10.166.226.197 218
10.150.8.178 11
10.153.110.190 5
Re: Ist sowas noch normal
Ich finde folgendes interessant:
Was soll so schlimm am Aufruf dieses Webservers sein, der unter anderem auch noch http://forum.ubuntuusers.de hostet? Kannst du dich erinnern vor zwei Tagen zu der Uhrzeit hingesurft zu sein? Und vielleicht kann jemand diese Logdaten mal deuten und sagen was daran so schlimm sein soll. Vielleicht ist es die fehlende MAC-Adresse oder hast du die selbst rausgefiltert? Die 10er-IP-Adresse war wohl deine intern vergebene IP-Adresse. Welchen Provider hast du zu dem Zeitpunkt genutzt oder nutzt du selbst dieses Subnetz?
Code: Alles auswählen
fgrep "10.157.13.185" 36011.txt
Oct 24 10:02:33 MS-WORKGROUP kernel: [ 292.197482] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=38061 DF PROTO=TCP SPT=80 DPT=39816 WINDOW=108 RES=0x00 ACK URGP=0
Oct 24 10:02:37 MS-WORKGROUP kernel: [ 295.908416] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=217 DF PROTO=TCP SPT=80 DPT=39818 WINDOW=108 RES=0x00 ACK URGP=0
Oct 24 10:02:37 MS-WORKGROUP kernel: [ 295.908476] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=20382 DF PROTO=TCP SPT=80 DPT=39817 WINDOW=108 RES=0x00 ACK URGP=0
Oct 24 10:02:38 MS-WORKGROUP kernel: [ 296.848431] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=213.95.41.13 DST=10.157.13.185 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=13383 DF PROTO=TCP SPT=80 DPT=39819 WINDOW=108 RES=0x00 ACK URGP=0
Code: Alles auswählen
host 213.95.41.13
13.41.95.213.in-addr.arpa domain name pointer lisa.ubuntu-eu.org.
Re: Ist sowas noch normal
Laut Debian Changelog sind von ettercap im August und September dieses Jahres neue Versionen erschienen.schorsch_76 hat geschrieben:Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. (...)
[1] http://ettercap.sourceforge.net/history.php
Debians Paketbeschreibungen übersetzen? Hilf mit!
- schorsch_76
- Beiträge: 2535
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Ist sowas noch normal
Danke für den Hinweisdeberik hat geschrieben:Laut Debian Changelog sind von ettercap im August und September dieses Jahres neue Versionen erschienen.schorsch_76 hat geschrieben:Laut [1] ist ettercap schon seit 6 Jahren! nicht mehr aktualisiert worden. (...)
[1] http://ettercap.sourceforge.net/history.php
Gruß
schorsch
Re: Ist sowas noch normal
Ich würde ja erstmal, bevor ich alles aufscheuche und analysiere die Systematik dahinter versuchen zu verstehen ...
a) Untersuchen, ob es an deiner Hardware liegt:
-Deine Internetverbindung von einem anderen Rechner (hardware!) aus testen, du sagtest ja Surfstick
-Dein PC woanders ans Internet (zB öffentliches WLAN, Router von Kumpel, ...) anschliessen
b) Untersuchen, ob es mit deinem System zusammenhängt
- Linux Live CD booten. Live CD von anderem Rechner laden und brennen
-Schritte von a) wiederholen
c) Falls du nicht ins Internet gehst und dann einfach so Programme auf und zu machst, bissl rumspielst: Wird dein Rechner dann auch langsam?
Mir kommt das seehr spanisch vor. Das ein Rechner im Internet innerhalb von Minuten wieder identifiziert wird, kann doch nur an einer Software auf dem Rechner liegen. Eine Person hinter dem Rechner _kann_ doch gar nicht identifiziert werden. Ausser du verbindest dich selbst direkt mit irgendwas (eMail, Chat, ...). Der Rechner bekommt irgendeine IP zugewiesen, und das bekommt erstmal keiner mit, ausser er scannt diese IP oder der Rechner teilt sich selbstständig mit (Mal abgesehen davon, dass beim Provider was faul ist, was ich mir wirklcih nicht vorstellen kann). Warum also bist immer nur du betroffen?
Ergo kann es eigentlich nur einer der Gründe von oben sein, oder du bildest dir was ein. Ein Surfstick ist langsam btw, und Portscans kommen ständig rein.
a) Untersuchen, ob es an deiner Hardware liegt:
-Deine Internetverbindung von einem anderen Rechner (hardware!) aus testen, du sagtest ja Surfstick
-Dein PC woanders ans Internet (zB öffentliches WLAN, Router von Kumpel, ...) anschliessen
b) Untersuchen, ob es mit deinem System zusammenhängt
- Linux Live CD booten. Live CD von anderem Rechner laden und brennen
-Schritte von a) wiederholen
c) Falls du nicht ins Internet gehst und dann einfach so Programme auf und zu machst, bissl rumspielst: Wird dein Rechner dann auch langsam?
Mir kommt das seehr spanisch vor. Das ein Rechner im Internet innerhalb von Minuten wieder identifiziert wird, kann doch nur an einer Software auf dem Rechner liegen. Eine Person hinter dem Rechner _kann_ doch gar nicht identifiziert werden. Ausser du verbindest dich selbst direkt mit irgendwas (eMail, Chat, ...). Der Rechner bekommt irgendeine IP zugewiesen, und das bekommt erstmal keiner mit, ausser er scannt diese IP oder der Rechner teilt sich selbstständig mit (Mal abgesehen davon, dass beim Provider was faul ist, was ich mir wirklcih nicht vorstellen kann). Warum also bist immer nur du betroffen?
Ergo kann es eigentlich nur einer der Gründe von oben sein, oder du bildest dir was ein. Ein Surfstick ist langsam btw, und Portscans kommen ständig rein.
Re: Ist sowas noch normal
nun Einbildung ist es bestimmt nicht, seit ich hier angemeldet bin hab ich jetzt folgende Log einträge :
Ich surfe noch genauso wenig rum wiie sonst auch, das einzigste Programm welches Kontakt aufnimmt ist KMail, ansonsten Iceweasel, I-net ist seit ich hier bin auch wieder schnell, was auch die log´s bestätigen.
Edit : und ein Surfstick ist schneller wie mein vorheriges 8000er Inet. DL = bis 600Kbyte / UL = bis 200KByte
Surfstick Huawei E1750
Es wurden auch keinerlei Einstellungen mehr vorgenommen
Code: Alles auswählen
Oct 26 15:12:28 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 26 15:13:20 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 26 15:13:22 ** All firewall rules applied **
Oct 26 16:27:13 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 26 16:28:01 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 26 16:28:04 ** All firewall rules applied **
Oct 26 18:29:34 Arno-psad-fail kernel: [ 7306.776067] AIF:Stealth scan? (UNPRIV): IN=ppp0 OUT= MAC= SRC=92.123.64.123 DST=10.172.127.29 LEN=845 TOS=0x00 PREC=0x00 TTL=50 ID=9643 DF PROTO=TCP SPT=80 DPT=53459 WINDOW=218 RES=0x00 ACK PSH URGP=0
Oct 27 05:38:26 ** Stopping Arno's Iptables Firewall v1.9.2k **
Oct 27 05:39:14 ** Starting Arno's Iptables Firewall v1.9.2k **
Oct 27 05:39:16 ** All firewall rules applied **
Edit : und ein Surfstick ist schneller wie mein vorheriges 8000er Inet. DL = bis 600Kbyte / UL = bis 200KByte
Surfstick Huawei E1750
Es wurden auch keinerlei Einstellungen mehr vorgenommen