Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: netwerkicoon actief!! :(  (gelezen 3973 keer)

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Gepost op: 2006/09/13, 20:47:24 »
ik heb een netwerkmonitor, en een icoon met de afbeelding van de compu. de laatste tijd veel activiteit te zien, inkomend/uitgaand. terwijl ik niets doe, of ergens opdracht voor geef. hoe kan ik zeer precies monitoren welke poorten/processen betrokken zijn bij dit ongewenste verkeer? op xp (laptop)
heb ik zo'n prog. portexplorer, is er iets op linux wat daar op lijkt?
of iptables inzien? iemand een idee?

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #1 Gepost op: 2006/09/13, 20:51:55 »
installeer "tcpdump" :

apt-get install tcpdump

run tcpdump als root en je zult al het verkeer voorbij zien zoeven...

overigens kun je met tcpdump ook verkeer filteren :

tcpdump -i eth0 host 10.10.10.1 and port 22

zal je al het ssh ( poort 22 ) verkeer van en naar host 10.10.10.1 laten zien op interface eth0.. om dns lookups uit te schakelen doe je ook nog vlaggetje "-n" erbij ( gaat wat sneller )...

een ander tooltje met mooie curses-gui is iptraf, apt-get install iptraf ...

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #2 Gepost op: 2006/09/13, 21:25:04 »
zeer bedankt, weer wat wijzer. ben benieuwd of ik uit de voeten kan met de progs. :)
ik haat internetverkeer op mijn computer als ik het zelf niet heb ge

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #3 Gepost op: 2006/09/13, 21:39:24 »
Internet activiteit is er vaak, denk bijvoorbeeld aan :

- software updates
- NTP, Network Time Protocol ( als je dat aan hebt staan, altijd handig btw om je klok op de seconde nauwkeurig te laten lopen met een atoom of GPS klok op het Internet )
- als je je machine rechtstreeks op aan het Internet hebt hangen, zul je flink wat verkeer langs zien komen, bijvoorbeeld windows wormen op de poorten 137 t/m 139 en 445...

Voor windows wormen en dergelijken ben je niet vatbaar, voor zover bekend is er op dit moment geen enkele worm voor Linux bekend, ook geen virus... Tevens zijn bij een standaard installatie van de desktop versie van Ubuntu bijna geen poorten geopend naar de buitenwereld...

Offline profoX

  • Lid
    • wesley
    • Lionslink
netwerkicoon actief!! :(
« Reactie #4 Gepost op: 2006/09/13, 21:47:24 »
enkele linux virussen zijn er wel, maar die zijn niet wijd verspreid en worden als het ware in speciale laboratoria ontwikkeld :P

(deze 'prototypes' kunnen meestal ook niet veel schade doen, en al zeker niet als je je home drive regelmatig ergens backupped)

een linux virus dat root access kan verkrijgen (door een of andere bug in bv. netwerksoftware zoals apache of ssh) zal zoiezo niet lang leven, omdat in linux zo'n dingen snel ontdekt/opgelost worden in de meeste gevallen.
Human Knowledge Belongs To The World -- Antitrust (2001)
Nederlandstalige Ubuntu documentatie van Ubuntu-NL (wiki)

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #5 Gepost op: 2006/09/13, 22:13:38 »
Idd, ze zijn er wel.. Maar verwaarloosbaar, absoluut geen reden om bang voor te zijn. Vaak slechts gemaakt om aan te tonen dat virussen niet werken in een Linux/Unix omgeving..

Wat ik wel enkele keren ben tegengekomen zijn rootkits, maar als je je updates netjes hun gang laat gaan, is er niets aan de hand...

Iets dat apache exploit heeft trouwens nog geen zin, want apache draait ( als het goed is ) nooit als user root, maar als www-data of nobody. Ssh is een ander verhaal, hier draait alleen het server proces als root en worden alle logins verder afgehandeld door de uid van de op dat moment ingelogde gebruiker.. Het "spawned" een child process met de rechten van betreffende gebruiker... Overigens is het altijd aan te raden ssh alleen toe te staan van bekende adressen, of gebruik sshdfilter ..

Juist die multi-user functionaliteit die in alle unices zit ingebakken tot diep in de kernel maakt unix zo geweldig... :-) Je kan als het goed is door een service te hijacken nooit volledige controle verkrijgen over het systeem...

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #6 Gepost op: 2006/09/14, 19:50:25 »
gaat niet goed op mijn pc. vanmiddag weer een "verkeer".
pakketten heen weer. iptraf gestart. heel veel drukte op het scherm. ik zit nog niet echt in het prog., nog te onbekend.
binnen 10 min. 125mb in,15mb out.:( computer weer gereboot.
ik zal een opname maken van het verkeer dat op iptraf te zien is.
maar 125mb in! ik maak me zorgen.:(

1ip whois:
address:        Austria
phone:          +43 1 96068 5000
fax-no:         +43 1 96068 5666
e-mail:         hostmaster@chello.at
admin-c:        AK991-RIPE
tech-c:         SB666-RIPE
tech-c:         MG111
tech-c:         MS2509-RIPE
tech-c:         AK991-RIPE
nic-hdl:        HMCB1-RIPE
mnt-by:         CHELLO-MNT
source:         RIPE # Filtered

Saamelainen

  • Gast
netwerkicoon actief!! :(
« Reactie #7 Gepost op: 2006/09/14, 19:55:21 »
125 Mb! Bah. Dat is abnormaal! :(

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #8 Gepost op: 2006/09/14, 20:00:05 »
dit is maar 1 ip waar ik whois op heb gedaan.
ik mis de kennis om echt te analyseren hoe of wat....
vanavond is het rustig: een hoop "kaarsemaker verkeer", met wat chello. dat lijkt me logisch. gedver.....had er net zo'n lol in allemaal.
:(

Saamelainen

  • Gast
netwerkicoon actief!! :(
« Reactie #9 Gepost op: 2006/09/14, 20:03:17 »
Systeem > Beheer > Systeemlogboek. Ik heb daar wel eens zitten koekeloeren. Daar kun je misschien al wat info uithalen. Ik weet alleen niet precies op welk onderdeel dat je zoeken moet. :(

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #10 Gepost op: 2006/09/14, 20:09:01 »
ik ga dat doen. dank.
en studeren op iptraf/tcpdump en een schermafdruk maken als het zich weer doet, ik bedoel van die ip heksenketel.

Saamelainen

  • Gast
netwerkicoon actief!! :(
« Reactie #11 Gepost op: 2006/09/14, 20:20:28 »
Leo, had je die Shields up-test wel eens gedaan? Misschien dat je daar ook nog wat wijzer van wordt?

https://www.grc.com/x/ne.dll?bh0bkyd2

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #12 Gepost op: 2006/09/14, 22:28:33 »
Leo : doe eens een paar minuten dit ervan uitgaande dat eth0 je netwerkkaart is:

tcpdump -n -i eth0 > tcpdump.txt
gzip tcpdump.txt

En plaats een link op het forum, kunnen we ff naar de output kijken... Of mail ff...

Offline siegi

  • Lid
netwerkicoon actief!! :(
« Reactie #13 Gepost op: 2006/09/14, 22:52:03 »
er is ook een grafisch programma dat wel wat uitgebreider,
ethereal
vind ik iets handiger dan alleen tcpdump.

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #14 Gepost op: 2006/09/14, 22:56:52 »
ethereal mag ook, al vind ik juist die weer wat minder handig :-) Tenminste voor simpel netwerk verkeer uitpluizen is tcpdump voldoende voor mij... Maar smaken verschillen... gelukkig..

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #15 Gepost op: 2006/09/15, 16:15:48 »
zo, ik zit helemaal klaar om "verkeer" te monitoren. alle progs standby hehe. ik ben erg nieuwsgierig.....:( en bij voorbaat al boos. meestal zo rond 16.30 begint het....grrrrrrrr. ja hoor verder alles goed met me. :D

Saamelainen

  • Gast
netwerkicoon actief!! :(
« Reactie #16 Gepost op: 2006/09/15, 16:32:54 »
Ik hou je ervaringen in de gaten, want ik wil ook graag weten wat daar gebeurt.

Offline Soul-Sing

  • Lid
netwerkicoon actief!! :(
« Reactie #17 Gepost op: 2006/09/15, 17:14:28 »
@theAnimal
heb een zeer uitvoerige textdump. alleen het moment wat ik bedoel, heeft zich vandaag (nog) niet voorgedaan.( vele mb in en out)
enkele WHOIS gedaan, enkele particuleren, maar ook planet internet?? en hewlett pack.?? ik ga het zeker niet hier publiceren.
veel te veel info.(bladzijden vol)
als "het moment" zich voordoet maak ik weer een textdump, zal ik je die dan mailen? ivm privacy e.d.? vind je dat ok?
dan sluit ik het draadje wat mij betreft. wanneer er generale conclusies mogelijk zijn hoort iedereen van me. ok? :D

ps die:tcpdump -n -i eth0 > tcpdump.txt
werkt geweldig!

Offline profoX

  • Lid
    • wesley
    • Lionslink
netwerkicoon actief!! :(
« Reactie #18 Gepost op: 2006/09/15, 18:58:41 »
PS: Ethereal heet tegenwoordig Wireshark

Citaat
John R.'s synopsis is essentially correct. Several years ago, my former employer (NIS) registered trademarks for the Ethereal name and logo. At the time this provided valuable legal protection for the project. Unfortunately, when I left we weren't able to come to an agreement on the trademarks and they stayed behind.

There are several details about this that I can't discuss, but I will say this: There was no "fight" between NIS and I. Although I'm deeply disappointed about the trademarks, I understand their decision. NIS is a great company and I still hold everyone there in high regard.

My reason to leave had more to do with the opportunities available at CACE (for the project, my family, and myself) than anything. The "good stuff" that will come from moving to CACE will far outstrip any "bad stuff" from the name change.
http://www.wireshark.org/
Human Knowledge Belongs To The World -- Antitrust (2001)
Nederlandstalige Ubuntu documentatie van Ubuntu-NL (wiki)

TheAnimaL

  • Gast
netwerkicoon actief!! :(
« Reactie #19 Gepost op: 2006/09/15, 19:42:08 »
@loequant

Mailen is prima!

Heb ik ook vaak, je weet dat het er is, als je het zoekt is het weg en als het er is dan gaat het weer weg... :-)