onbedoeld internet verkeer

[Mikkel]

Nu zie ik dat ik ook onder XP "internetverkeer heb" hoewel ik Automatisch Update, G-mail notfi. etc. heb uitgeschakeld maar ik heb de indruk dat het onder Linux meer is.

Hoe kom ik er achter Hoeveel en vooral Wat het internet verkeer is ?

Hier thuis hangen twee pc's in een netwerkje. Op de ene draait alleen XP, op de andere een dual boot Ubuntu 7.10/XP.
Een tijdje geleden (onder XP) heb ik eens in het log van m'n firewall gekeken, want terwijl ik niets deed, knipperde het pictogram van die firewall als een gek. Bleek dat het torrentprogramma dat op de andere pc draaide, om de haverklap ook een kijkje probeerde te nemen op mijn pc, waar datzelfde torrentprogramma stond geïnstalleerd, maar op dat moment niet draaide. En die firewall maar druk doende om alle ongewenste bezoekers buiten de deur te houden..................

Trouwens, ook zonder dat torrentprogramma komt het IP-adres van de andere pc regelmatig voor in het log van mijn firewall. Twee (of meer) pc's aan één router houden blijkbaar voortdurend contact met elkaar, wat dan wel lijkt op internetverkeer, maar het in feite niet is.

Zou er bij jullie thuis ook niet zoiets aan de gang kunnen zijn, eric52?
Verkeer tussen beide pc's, of geen automatische update maar dan misschien wel een synchronisatieopdracht die wordt uitgevoerd? Of (een van) de befaamde Windows Services die even naar huis belt/bellen?
Als je onder XP werkt, kun je in het log van je firewall misschien uitzoeken met welk IP-adres er contact gezocht of gemaakt wordt.

[Mikkel]

Bedankt, hoe lees je trouwens de rkhunter.log file eigenlijk?

groet jan

Met het commando: gksudo gedit /var/log/rkhunter.log
in een terminalvenster.

rkhunter start zichzelf trouwens elke dag automatisch op, dankzij een zogenaamde 'cron job'. Dat bestand staat in /etc/cron.daily.
Het logfile (rkhunter.log) staat in /var/log/rkhunter.log
En er wordt elke dag een e-mail gestuurd naar root. Die e-mail staat in /var/mail.

[Sachjan]

@ Mikkel

Bedankt weer heel veel geleerd.

groet Jan

[Mikkel]

@ Mikkel

Bedankt weer heel veel geleerd.

groet Jan

Graag gedaan.

[eric52]

ik heb inmiddels ook de beide programma's laten lopen
en zie niets bijzonders

Bij chkrootkit komt alles met "not infected" of "not found" terug

Bij rkhunter komt alles met OK retour, alles behalve:
 
 Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

nu denk ik dat die laatste twee "iets" met met mijn XP te maken hebben.

Iemand een idee , ik blijf met een UIT en IN verkeer zitten van resp. 7 KiB/s en 9 KiB/s terwijl ik "niets" aan het doen ben.

Hoe kan ik zie welke processen hier voor verantwoordelijk zijn en vooral WAT gebeurd er ??

Tweede vraag hoe kan ik simpel mijn internetverbinding UIT zetten , iedere keer de stekker er uit trekken is niks

[eric52]

Mikkel,

ik heb inderdaad een netwerkje van mijn PC en een Imac van mijn vrouw
(trouwens daar kwamen de klachten van dat niet te internetten was als ik met Linux bezig was).

Ik je theorie even geprobeerd en de Imac uit de router getrokken maar dat gaf een verschil.  Momenteel (ca. 30 min. na opstarten) is mijn IN verkeer tot rust gekomen maar UIT gaat er nog steeds 7 KiB/s en ik heb geen idee WAT of WAAR dat naar toe gaat.

[Pjotr]

UIT gaat er nog steeds 7 KiB/s en ik heb geen idee WAT of WAAR dat naar toe gaat.

Ongetwijfeld naar de Siciliaanse mafia, die nu alles van je weet en je binnenkort een bezoekje komt brengen, met een aanbod dat je niet kunt weigeren....  :-)

Ik zou me er niet druk over maken, eric52. Ubuntu is open-bron software, dus als er iets akeligs aan de hand zou zijn, dan was dat allang ontdekt. Ik denk dat het iets onschuldigs is, zoals de communicatie tussen je computer en de router.

[Mikkel]

Momenteel (ca. 30 min. na opstarten) is mijn IN verkeer tot rust gekomen maar UIT gaat er nog steeds 7 KiB/s en ik heb geen idee WAT of WAAR dat naar toe gaat.

Ik vermoed dat dit dan louter een controle is of de internetverbinding tussen jouw modem/router en je provider nog actief is. Want 7KB is in feite zo goed als niets.

[Mikkel]

Tweede vraag hoe kan ik simpel mijn internetverbinding UIT zetten , iedere keer de stekker er uit trekken is niks

Rechtermuisklik op het pictogram van de netwerkverbinding (bovenste paneel, rechts). Daar staat de optie 'Netwerk aanzetten' aangevinkt. Ik heb het niet uitgeprobeerd, maar het lijkt me dat het uitvinken van die optie ervoor zorgt dat je geen netwerkverbinding meer hebt...........
Alleen geen idee of het simpel weer aanvinken dan meteen de netwerkverbinding herstelt of dat je daarvoor de pc opnieuw moet opstarten.

[eric52]

Hallo Mikkel,

ik heb rechts een plaatje (twee comp.) van de Verbindingseigenschappen eth0 maar als ik rechts klik krijg ik geen optie met uitschakelen.

Dat het UIT versturen van gem. 7KiB/s mogelijk het verkeer tussen PC en router is kan kloppen ik zie geen led knipperen bij met kabel modem.

Wat dan nog steeds wel vreemd is het IN gaande verkeer.
Ik dacht alles uit gezet te kennen en toch in er veel ingaand verkeer plaats
ik zit nu op zo'n 30 min. na inschakelen op 11,1 Mb ontvangen en 10,8 Mb verzonden.

Een vreemde gok van deze beginneling: in werk onder Gnome maar het ook KDE4.1 om uit te proberen. Nu heb ik dacht ik alles onder Gnome uitgeschakeld wat autm. update maar niet onder KDE. Zou het kunnen dat...............

[Mikkel]

Ik dacht alles uit gezet te kennen en toch in er veel ingaand verkeer plaats
ik zit nu op zo'n 30 min. na inschakelen op 11,1 Mb ontvangen en 10,8 Mb verzonden.

Ik ben net zo'n beginneling als jij, hoor. Maar de kriebels krijgen van internetverkeer waar je geen vinger achter kunt krijgen, dat kan ik me heel goed voorstellen.

Van KDE heb ik geen kaas gegeten, maar ruim 11 MB binnengehaald na een half uur internetten..... dat kun je toch niet rangschikken onder normaal updaten, vind ik. Dat lijkt veel meer op een p2p-programma dat flink staat te downloaden.
En je weet zeker dat dit verkeer is van jóuw pc? Het kan niet van de iMac van je vrouw zijn, waar zo'n p2p- of torrentprogramma draait of waar Windows automatisch geüpdate wordt?

Kan me niet herinneren of je het ergens geschreven hebt, maar heb je soms draadloos  internet? Ik bedoel, kan er misschien iemand van je buren aan het surfen zijn met gebruik van jóuw (onvoldoende beveiligd) netwerk?

[siegi]

11,1 Mb ontvangen en 10,8 Mb verzonden.
11 mb downloaden na een half uur met gewoon te surfen is goed mogelijk. Is zelfs nog redelijk weinig.
Alleen vraag ik me af hoe je aan die 10.8 mb uploaden komt, dit kan idd wel een p2p programma zijn.

[sasja]

Normaal zou een modem beide computers ieder de helft geven,
maar omdat Linux slimmer is kreeg die voorrang met 90% en Windows houd maar 10% over, dus niet verbroken maar word erg traag.
Bij het laden van 2x zelfde pagina zal na de Enter knop Linux meestal eerder klaar zijn dan Windows.
Of het nu mijn Xubuntu of Ubuntu is maakt niet uit,
XP of Vista ook niet.

Dus is Windows dom omdat ze geen rekening houden met slimme systemen van Linux Ubuntu?
Zij gaan er vanuit dat  iedereen Windows heeft en het netjes verdeeld zou worden...
maar daarom moet je voorzichtig zijn bij draadloos inbreken via Wifi,  anders drukte je de eigenaar
terug naar inbel snelheden!
Mijn Wifi kaart is dus traag ingesteld om te voorkomen dat ze boos worden en zwaarder gaan beveiligen.

[eric52]

snap niet hellemaal het verhaal over windows, ik heb een dubbel boot systeem dus of windows ( heb ik overigens geen gekke dingen mee ) of linux.  Verder doen we niets draadloos en is/was de Mac uit.

Overigens ben ik er nu wel achter dat mijn gem. 6,8 KiB/s uitgaande verkeer in mijn eigen netwerk verdwijnt daar de internetmodem niet staat te knipperen.

[eric52]

ik heb weer wat geleerd.

Als in van XP naar Linux overschakel moet mijn SqueezeBox (muziek afspeler) opnieuw zijn programma
laden blijkbaar geneert dit ca. 6,8 KiB/s aan uitgaand verkeer. Als de Squeezebox weer geflashed is dit over.  

Blijf ik nog het het laatste probleem zitten.
Wat wordt er gedownload ( vandaag weer 6,7 MB na ca. 15 min.) als ik alles UIT heb staan. Weet iemand wat of wie hiervoor
verantwoordelijk is ??

Nu ik dit typ wordt er weer voor 9,2 KiB/s ( mijn max.) naar binnen gepompt !!!!

[Mij]

ik heb weer wat geleerd.

Als in van XP naar Linux overschakel moet mijn SqueezeBox (muziek afspeler) opnieuw zijn programma
laden blijkbaar geneert dit ca. 6,8 KiB/s aan uitgaand verkeer. Als de Squeezebox weer geflashed is dit over.  

Blijf ik nog het het laatste probleem zitten.
Wat wordt er gedownload ( vandaag weer 6,7 MB na ca. 15 min.) als ik alles UIT heb staan. Weet iemand wat of wie hiervoor
verantwoordelijk is ??

Nu ik dit typ wordt er weer voor 9,2 KiB/s ( mijn max.) naar binnen gepompt !!!!

is 9,2 KB/s serieus je maximum? Gebruik je een inbelverbinding ofzo?

[Vistaus]

@Doan: Gezien hij dat eerder heeft gezegd, ja.

[eric52]

neen geen inbel wel Adsl via Casema bellen met gratis Internet (max. 9,8 Kb/s is prima voor mij , beetje e-mailen )  

Maar wie kan mij zeggen wat ik onder Gnome moet controleren en instellen dat ik
geen download verkeer heb !!!! als ik dat niet wil !!!!!!


Graag respons wat ik begin net te wennen aan Linux ( en bijna alles werkende )

[Gandyman]

Wat ik nergens lees is wat voor model/merk router jij heb ??
Zit er ook draadloos op die router ?

[Thoth]

Dag Erik,

Ik zie dat je nog steeds aan het tobben bent. Een andere mogelijkheid om je internet
(IP/TCP) verkeer te zien, is met Ether Ape. Dit is een tool voor network forensie. Zie je netjes constant alle verbindingen die tot stand worden gebracht en verbroken in een prachtig grafisch jasje met de domeinen/IPnrs erbij. Deze tool wordt bij default geinstalleerd in Ubuntu, althans bij mij.  Je moet de tool wel echter als root opstarten om alles te kunnen zien.

HTH,

Groet,

Thoth

[eric52]

Hallo jongens,

even wat vragen beantwoorden: nee geen WLAN , router is een Edimax (naar modem, squeebox en Imac, laatste 2 staan UIT)  

t.a..v Ether Ape ik het programma geïnstalleerd ( heet overigens etherape ) en via een terminal met sudo etherape gestart.
Maar dan ik zie prachtige dat ik met 192.168.2.103 en plotseling is er een rode schijnwerper bij gekomen met DOWNLOAD ( inderdaad is mijn IN verkeer naar max. gesprongen zonder actie van mijn kant.

Maar wat nu , hoe kom ik er achter WIE of WAT dit doet ??

[Johan van Dijk]

Probeer het eens in de terminal, met bijv. het commando:
sudo netstat -pt
of sudo lsof -i

[eric52]

de output van deze twee programma's is het volgende:

eric@WijnKist:~$ sudo netstat -pt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        1      0 WijnKist.local:35241    nos-websites.omroep:www CLOSE_WAIT  6317/firefox    
tcp        0      0 localhost:9000          localhost:44281         ESTABLISHED 5520/perl      
tcp        0      0 localhost:44281         localhost:9000          ESTABLISHED 6317/firefox    
tcp        0      0 localhost:9000          localhost:44279         ESTABLISHED 5520/perl      
tcp        0      0 localhost:44279         localhost:9000          ESTABLISHED 6317/firefox    
tcp        0      0 WijnKist.local:3483     192.168.2.103:16837     ESTABLISHED 5520/perl      
tcp        0      0 localhost:9000          localhost:44280         ESTABLISHED 5520/perl      
tcp        0      0 localhost:9092          localhost:42150         ESTABLISHED 5998/mysqld    
tcp        0      0 localhost:44280         localhost:9000          ESTABLISHED 6317/firefox    
tcp        0      0 localhost:42150         localhost:9092          ESTABLISHED 5520/perl      
tcp        0      0 WijnKist.local:51232    downloads.slimdevic:www ESTABLISHED 5520/perl      
eric@WijnKist:~$ sudo lsof -i
COMMAND    PID          USER   FD   TYPE DEVICE SIZE NODE NAME
avahi-dae 4967         avahi   14u  IPv4  16627       UDP *:mdns
avahi-dae 4967         avahi   15u  IPv4  16628       UDP *:32780
cupsd     5011          root    2u  IPv4  16683       TCP localhost:ipp (LISTEN)
mysqld    5091         mysql   10u  IPv4  16767       TCP localhost:mysql (LISTEN)
exim4     5427   Debian-exim    3u  IPv4  17150       TCP localhost:smtp (LISTEN)
nmbd      5493          root    6u  IPv4  17238       UDP *:netbios-ns
nmbd      5493          root    7u  IPv4  17239       UDP *:netbios-dgm
nmbd      5493          root    8u  IPv4  19868       UDP WijnKist.local:netbios-ns
nmbd      5493          root    9u  IPv4  19869       UDP WijnKist.local:netbios-dgm
smbd      5495          root   20u  IPv4  17940       TCP *:microsoft-ds (LISTEN)
smbd      5495          root   21u  IPv4  17941       TCP *:netbios-ssn (LISTEN)
squeezece 5520 squeezecenter    6u  IPv4  19865       UDP *:3483
squeezece 5520 squeezecenter    7u  IPv4  42733       TCP localhost:42150->localhost:9092 (ESTABLISHED)
squeezece 5520 squeezecenter    8u  IPv4  19866       TCP *:3483 (LISTEN)
squeezece 5520 squeezecenter    9u  IPv4  19878       TCP *:9090 (LISTEN)
squeezece 5520 squeezecenter   11u  IPv4  43775       TCP WijnKist.local:3483->192.168.2.103:16837 (ESTABLISHED)
squeezece 5520 squeezecenter   12u  IPv4  19906       TCP *:9000 (LISTEN)
squeezece 5520 squeezecenter   16u  IPv4  45963       TCP WijnKist.local:51232->downloads.slimdevices.com:www (ESTABLISHED)
dhclient  5956          dhcp    6u  IPv4  19533       UDP *:bootpc
mysqld    5998 squeezecenter   10u  IPv4  19669       TCP localhost:9092 (LISTEN)
mysqld    5998 squeezecenter   13u  IPv4  42734       TCP localhost:9092->localhost:42150 (ESTABLISHED)

voor de duidelijkheid mijn PC heet wijnkist en momenteel staat de Squeezebox aan en .. momenteel heb weer een max. download van 9,8Kb/s .
Etherape geeft een rood kegel naar het woord Download maar ik weet hoe ik er verder achter kom wat of wie dit doet . Is het niet mogelijk naar de actuele processen te kijken ?? welk programma nu op de achtergrond bezig is ??

[Johan van Dijk]

Ik zie open verbindingen van Firefox en een perl script (squeezecenter lijkt me).
Heb je die al eens afgesloten en gekeken of dat het misschien was?
Start ook eens alleen Firefox op, zonder een site te openen. Zie je dan nog steeds dat netwerkverkeer?
Idem met squeezecenter.

En heb je een intern netwerk met meerdere pc's of andere apparaten in huis? Heb je dan ook al eens in de webinterface van je modem gekeken of het wel internetverkeer is en geen verkeer tussen die apparaten onderling?

[eric52]

HOERA ik denk dat ik het gevonden heb,

sorry voor mijn late reacties maar een beetje druk gehad en XP moeten gebruiken. Vanmorgen had ik onder de douche de ingeving dat het mogelijk de software van de Squeezebox zou kunnen zijn. Deze z.g.n. SlimServer moet je installeren op je OS en zorgt er voor dat zelfs voor het inloggen als gebruiker je muziekspeler al werkt.

Ik heb nu onder Umbutu de Slimserver software gedeïnstalleerd en ja hoor mijn internet verbinding blijft zich voorstelbaar gedragen. Ik zie met de systeem- monitor geen vreemde UP en DOWN load's meer.

Ik denk dat ik de Slimserver er onder Linux af laat en alleen onder XP blijf gebruiken omdat je bij overschakelen toch steeds de Squeezebox moet blijven flashen, wat een beetje lastig is. Verder is het overigens een prima apparaat.