GoldenLine
Zaloguj się
Marcin N.

Marcin N. :)

Temat: dziwne połączenie do hosta

czesc, ostatnio zauważyłem że po uruchomieniu kompa (debian) monitor połączen wychodzących w conky pokazuje już jedno połaczenie z hostem 77.252.2.40 jako połączenie www czyli port 80.

host czasami się zmienia, ale najczesciej jest ten który podałem.

nie mam uruchomionej przeglądarki ani progroamu który przy starcie powinien się łączyć z czymkolwiek w sieci.

odpaliłem rkhuntera ale nic nie znalazł

jakieś pomysły jak sprawdzić co to może być ?Marcin N. edytował(a) ten post dnia 10.12.10 o godzinie 10:33
Link do wypowiedziLink
Grzegorz Rezmer

Grzegorz Rezmer Nie narzekaj że masz
pod górę, w końcu
idziesz na szczyt!

Temat: dziwne połączenie do hosta

Witam

sudo whois 77.252.2.40 ??

Później można zbadać jak wygląda trasa do tego adresu i po skanować poszczególne ip'eki.

wynik:
Kraj: Polska (PL)
Miasto: Warsaw
Region: Warszawa
Właściciel: Netia SA
Poleczki 13
02-822 Warszawa

Poleczki 13
02-822 Warszawa

Masz jakies oprogramowanie od netii???

Chyba że Netia udostępnia połączenia VPN, wtedy się nie dowiesz kto stoi po drugiej stronie mocy;)Grzegorz R. edytował(a) ten post dnia 10.12.10 o godzinie 15:35
Link do wypowiedziLink
Marcin N.

Marcin N. :)

Temat: dziwne połączenie do hosta

nie mam zadnego oprogramowania od neti, dane adsl wpisuje bezposrednio w routerze, mam tez zestawione dwa vpn'y ale nie z tym z IP :/
Link do wypowiedziLink
Adam Wroński

Adam Wroński IT jest dla biznesu,
nie biznes dla IT...

Temat: dziwne połączenie do hosta

@Marcin:
A sprawdzałeś jakimś snifferem, co się dzieje?
Kiedy następuje połączenie - w chwili nawiązania połączenia, w chwili uruchomienia systemu?
Najprościej - uruchom wraz ze startem systemu, dość wcześnie tcpdumpa i przekieruj do pliku - potem zrobisz analizę
A
Link do wypowiedziLink
Marcin N.

Marcin N. :)

Temat: dziwne połączenie do hosta

jest to dość dziwna sprawa. po uruchomieniu kompa od razu startuje wifi i jak tylko sie połączy z siecią mam dwa połączenia wychodzące, jedno np 91.214.237.8 na port 8074 czyli to jest połączenie do GG, a dugi to własnie ten host i port 80 :/

fragment z tcpdumpa



77.252.2.40.www > debian.local.39653: Flags [F.], cksum 0x5379 (correct), seq 4182375618, ack 432993781, win 181, options [nop,nop,TS val 1847522574 ecr 1964033], length 0

10:37:43.079353 IP (tos 0x0, ttl 64, id 57227, offset 0, flags [DF], proto UDP (17), length 70)

    debian.local.60704 > netia-dns2.inetia.pl.domain: [udp sum ok] 32488+ PTR? 40.2.252.77.in-addr.arpa. (42)

10:37:43.087098 IP (tos 0x0, ttl 251, id 42448, offset 0, flags [none], proto UDP (17), length 133)

    netia-dns2.inetia.pl.domain > debian.local.60704: [no cksum] 32488 NXDomain q: PTR? 40.2.252.77.in-addr.arpa. 0/1/0 ns: 2.252.77.in-addr.arpa. SOA chacha.inetia.pl. hostmaster.inetia.pl. 2010110901 28800 7200 1814400 86400 (105)

10:37:43.117172 IP (tos 0x0, ttl 64, id 658, offset 0, flags [DF], proto TCP (6), length 52)

    debian.local.39653 > 77.252.2.40.www: Flags [.], cksum 0x6bf1 (correct), seq 1, ack 1, win 168, options [nop,nop,TS val 2023317 ecr 1847522574], length 0

10:37:43.187523 IP6 (hlim 255, next-header UDP (17) payload length: 50) fe80::21e:65ff:fe7b:91cc.mdns > ff02::fb.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)

10:37:43.187600 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto UDP (17), length 70)

    debian.local.mdns > 224.0.0.251.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)

10:37:43.796949 IP (tos 0x0, ttl 64, id 12483, offset 0, flags [DF], proto TCP (6), length 60)

    debian.local.37080 > google.sfm.pl.xmpp-client: Flags [S], cksum 0x4c32 (correct), seq 4089703827, win 5840, options [mss 1460,sackOK,TS val 2023487 ecr 0,nop,wscale 7], length 0

10:37:44.189169 IP6 (hlim 255, next-header UDP (17) payload length: 50) fe80::21e:65ff:fe7b:91cc.mdns > ff02::fb.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)

10:37:44.189247 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto UDP (17), length 70)

    debian.local.mdns > 224.0.0.251.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)

10:37:45.733862 IP (tos 0x0, ttl 64, id 6594, offset 0, flags [DF], proto TCP (6), length 48)

    debian.local.45231 > ip-91-214-237-8.gadu-gadu.pl.8074: Flags [P.], cksum 0x34a3 (correct), seq 2255163157:2255163165, ack 3927900782, win 483, length 8

10:37:45.746891 IP (tos 0x0, ttl 56, id 42814, offset 0, flags [DF], proto TCP (6), length 40)

    ip-91-214-237-8.gadu-gadu.pl.8074 > debian.local.45231: Flags [.], cksum 0x3c58 (correct), seq 1, ack 8, win 566, length 0

10:37:46.192137 IP6 (hlim 255, next-header UDP (17) payload length: 50) fe80::21e:65ff:fe7b:91cc.mdns > ff02::fb.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)

10:37:46.192215 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], proto UDP (17), length 70)

    debian.local.mdns > 224.0.0.251.mdns: [udp sum ok] 0 PTR (QM)? 40.2.252.77.in-addr.arpa. (42)


jak dla mnie nic konkretnego
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: dziwne połączenie do hosta

bo tu ci pokazuje tylko nagłówki a nie co w środku, odpal wiresharka ;p
Link do wypowiedziLink
Adam Wroński

Adam Wroński IT jest dla biznesu,
nie biznes dla IT...

Temat: dziwne połączenie do hosta

Może głupio zapytam... ale sprawdzałeś coś w stylu
netstat -anp | grep 77.252.2.40 ?

A
Link do wypowiedziLink

konto usunięte

Temat: dziwne połączenie do hosta

ehhh

tcpdump -A -s0 host 77.252.2.40

lub -w dump.cap w celu pozniejszej inspekcji w wiresharku

jesli port 80 to prawdopodobnie tcpdump pokaze Ci cos ciekawego, po czym bedziesz w stanie rozpoznac co to za polaczenie

netstat -np | grep 77.252.2.40

w ten sposob dowiesz sie co to za proces nawiazuje to polaczenie

i na koniec strace -p PID + GDB + lsof i rozkminisz co sie dzieje

na koniec kill -9 pid i iptables -A INPUT -j DROP -s 77.252.2.40 i tak samo OUTPUT i lecz system, chociaz pewnie to jakis soft o ktorym zapomniales ;-)
Link do wypowiedziLink
Marcin N.

Marcin N. :)

Temat: dziwne połączenie do hosta



marcin@debian:~$ netstat -anp | grep 77.252.2.40

(Not all processes could be identified, non-owned process info

 will not be shown, you would have to be root to see it all.)

tcp        0      0 192.168.21.111:55977    77.252.2.40:80          ESTABLISHED 2469/gweather-apple


hmm, az nie moge w to uwierzyc ze aplet gnome weather tworzy takie połączenie, uzywalem conky od 3 lat, a gnome weather od gnomev2 i dopiero teraz wychodzi na to ze gnome weather nawiązuje połączenie na stałe, a powinien raz na jakiś czas tylko odświeżać dane ;/

@Adam dziękuje za naprowadzenie
Link do wypowiedziLink

konto usunięte

Temat: dziwne połączenie do hosta

Sławomir Rozbicki:
chociaz pewnie to jakis soft o ktorym zapomniales ;-)

;-) i znow moja krysztalowa kula nie zawiodla
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj