Netstat - merkwürdige Looping-Abstürze

echt0711

echt0711

Aktives Mitglied
Thread Starter
Dabei seit
11.10.2003
Beiträge
862
Reaktionspunkte
13
Hallo an alle,

Seit einigen Tagen habe ich zu völlig verschiedenen Anlässen und für mich nicht nachvollziehbar folgendes Problem:

Mitten beim Surfen im Internet meldet mein OS 10.3.5 daß das Programm "netstat" gecrashed ist (obwohl ich es garnicht selbst gestartet hatte!). Kurze Zeit darauf kommt dieselbe Meldung erneut. Manchmal im Abstand von 2-3 Sekunden kommt immer wieder eine Meldung, daß "netstat" gecrashed ist so daß ich nicht mehr wirklich weiterarbeiten kann und sich bald ein Haufen "Crash"-Fenster auf dem Desktop sammeln und der Rechner (Dual G5 2,0) spürbar lauter wird.

Anhaltspunkte:

Abhilfe schafft ->manchmal<- ein Schliessen von Safari und der Internetverbindung. Meist muss ich aber neu booten. Manche Tage verlaufen ohne Probleme aber dann kommt irgendwann wieder so ein Moment, wo die Crashes losgehen. Fast immer ist übrigens Safari zu diesem Zeitpunkt geöffnet. Aber bei mir streamt auch itunes aus dem Web Radiosender, iChat läuft fast immer mit, usw.

Hat ganz zufällig jemand eine Idee was da bei mir los ist? Oder hat jemand selbst das gleiche Problem so daß man den Fehler einkreisen kann? Bin ziemlich ratlos!
Habe das ganze schon als Bug an Apple reportet - es kam auch prompt die Rückfrage, wann und wie ich denn netstat gestartet hätte… wie witzig! :rolleyes:
 
Der klassische Tip:

Hallo!

Der Klassiker unter den Tips bei Softwareproblemen:
Die Rechte reparieren!
Install CD/DVD rein, von CD starten (Einschalten und C gedrückt halten).
Festplattendienstprogramm starten/Erste Hilfe/Zugriffsrechte überprüfen und finally Zugriffsrechte reparieren!

Hat schon in etlichen Fällen für Linderung gesorgt!

Probiers mal und poste ob es was gebracht hat!
 
Hi!

Also, wenn es eine Maschiene mit permanenter Internetanbindung ist. Vielleicht noch mit mit offizieller IP? Ohne Harware Firewall im Netz?

Ich würde sagen du bist gehacked.

netstat kann nicht abstürzen, jemand hat eine Backdoor installiert die sich als netstat tarnt. Diese meldet sich in der Prozessliste übelicherweise mit netstat -i
Wenn man den Prozess töten will startet er sich üblicherweise neu usw.

Wenn das alles oder auch nur Teile davon zutreffen, ist es sicher: Man hat dir deine Kiste unterm A*** weg gehacked.


Viel Spass beim neuinstallieren,

Gruß Rupa
 
Vor dem Neuinstallieren, führe doch mal im Terminal bitte folgendes aus :

ls -ld /usr/sbin/netstat

und falls developer tools installiert sind :

/usr/bin/otool -L /usr/sbin/netstat


und poste die ergebnisse hier

DANKE


gruss
Kruemel
 
Kruemel_ddorf schrieb:
ls -ld /usr/sbin/netstat
/usr/bin/otool -L /usr/sbin/netstat
Zum Vergrößern anklicken....


Glaub kaum das der Cracker den Standart netstat ausgetauscht hat. Viel warscheinlicher, startet er diese aus einem versteckten Verezichnis /dev/<XYZ>/.../.rootkit/bin oder so.

Damit ist diese schwehr aufffindbar.

Gruß Rupa
 
genau deswegen,
ich kann mir auch vorstellen, das eine Backdoor so trivial ausgtauscht wird, deswegen ja auch meine Bitte nach den Informationen .....

gruss
Kruemel
 
Hallo an alle:

Also der ls -ld /usr/sbin/netstat bringt folgendes Ergebnis:

-r-sr-xr-x 1 root wheel 90216 27 May 13:45 /usr/sbin/netstat


Und der /usr/bin/otool -L /usr/sbin/netstat sagt:

/usr/sbin/netstat:
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 71.0.0)


@Wigged G5: Die Rechte auf der Maschine sind in Ordnung.


Was nun? Ich bin so schlau als wie zuvor…*;)
 
Mir sagt das das du nicht gehackt worden bist ....
Was mich "nur" wundert ist, das es keine Veranlassung gibt, das wenn du surfst im Hintergrund netstat ausgeführt wird ..... evt. ein doofes Plugin ???

gruss
Kruemel
 
Also, wenn es eine Maschiene mit permanenter Internetanbindung ist. Vielleicht noch mit mit offizieller IP? Ohne Harware Firewall im Netz?
Zum Vergrößern anklicken....

Die Maschine hängt an einer DSL Leitung und kriegt spätestens alle 12 Stunden eine neue IP. Es läuft die IPFW in der Standard-Applekonfiguration, habe nur eine Rule über die Systemsteuerung eingebaut, die die Mail-Ports 25 und 110 durchlassen.

Auf der Kiste ist Internet Sharing eingeschaltet und am selben Switch, wo Mein G5 hängt, sind noch ein G3 und eine DOSe.
 
@Kruemel: Könnte man ja auch alles faken, was da ausgegeben wird :D

Ein Plugin… mal überlegen - ich hab mit Tinkertool das Safari Debug Menu eingeschaltet und ich habe für Apples "Mail" tatsächlich ein Plugin laufen, den "MailEnhancer". Allerdings sehe ich bei beidem keinen Zusammenhang zu meinem Problem (Mail war meist garnicht aktiv wenn das o.g. Crashing-Problem aufgetreten ist)… ansonsten müsste alles laufen wie es "ab Werk" von Apple kommt! Ich schau mir jetzt mal meine Library an…
 
wenn du möchstest koennen wir auch noch die MD5 Summe des netstat binary vergleichen ....
 
*grins* sollten wir das? sicher wäre sicher aber ich kann's mir ja eigentlich kaum vorstellen daß hier tatsächlich etwas eingedrungen ist…*tippe auch eher auf Deine Vermutung mit der Software. Ich hab gerade meine Library durchforstet und bis auf ein paar Safari Cookies nichts gefunden auf Safari hinweist oder Probleme machen könnte. Allerdings habe ich einen AOL Client, den ich nur zum Testen von Websites verwende und der wird immer mal geöffnet um über TCP/IP eine Verbindung aufzubauen (offline darf man deren Browser garnicht mehr benutzen - witzig oder?)… AOL lief allerdings AUCH nicht zum Zeitpunkt der Abstürze…
Ansonsten bliebe da noch iTunes - und das wird wohl kaum netstat im Hintergrund starten.

Also… wenn hier jemand mitsniffen sollte, dann muss das doch irgendwie rauszufinden sein oder stell ich mir das zu einfach vor?
 
eigentlich supereinfach *g*
Funktioniert netstat noch so wie es soll ? oder macht es zicken ???
 
hmm…*hab ich noch nicht groß verwendet bisher - der befehlt "netstat" ohne irgendwelche parameter gibt folgendes aus:

knoedgen-dual-g5:~ knoedgen$ netstat
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 localhost.netinfo-loca localhost.889 ESTABLISHED
tcp4 0 0 localhost.889 localhost.netinfo-loca ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.900 ESTABLISHED
tcp4 0 0 localhost.900 localhost.netinfo-loca ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.967 ESTABLISHED
tcp4 0 0 localhost.967 localhost.netinfo-loca ESTABLISHED
udp4 0 0 *.mdns *.*
udp4 0 0 *.* *.*
udp4 0 0 *.ipp *.*
udp46 0 0 *.49178 *.*
udp4 0 0 *.49177 *.*
udp4 0 0 localhost.domain *.*
udp4 0 0 *.bootps *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 localhost.49154 localhost.1022
udp4 0 0 localhost.49153 localhost.1022
udp4 0 0 localhost.1022 *.*
udp4 0 0 localhost.49152 localhost.1023
udp4 0 0 localhost.1023 *.*
udp4 0 0 *.bootpc *.*
udp4 0 0 localhost.netinfo-loca *.*
udp4 0 0 *.syslog *.*
udp6 0 0 *.514 *.*
icm4 0 0 *.* *.*
icm6 0 0 *.* *.*

Darunter folgt eine Auflistung von sockets wenn ich das richtig verstehe…

Sieht soweit normal aus, oder? Was könnte man sonst noch probieren um zu rauszufinden ob das Programm zickt?
 
echt0711 schrieb:
Also… wenn hier jemand mitsniffen sollte, dann muss das doch irgendwie rauszufinden sein oder stell ich mir das zu einfach vor?
Zum Vergrößern anklicken....


Hi,

ps auxwwww

zeigt dir die Übersicht aller Prozesse in ausführlichem Format

netstat -an

zeigt die Netzwerk Connections

Jeweils vorausgesetzt der Angreifer hat die Binaries nicht gepatched.

Wenn der Hacker weis was er tut findest du ihn aber nie. Er kann an den TCP Sockets anderer Programme lauschen und speziell kodierte Pakete abfangen und umleiten. (z.b. man hping2, man nc ...)

Mir wäre unwohl mit so einer Kiste ins Netz zu gehen, dazu noch ohne NAT ...

BTW: diese ominösen netstat Prozesse sind ein durchaus bekanntes Phenomen. Ist es ein Haufen Stress den Rechner neu aufzusetzten?

Rupa

Edit:
PS: Es gab in letzter Zeit ein paar wirklich dumme Security Bugs (z.B. im sshd) für welche auch sehr schnell Exploits zu haben waren. Du wärst nicht der Einzige, den es erwischt hat.
 
Zuletzt bearbeitet:
während du auf dieser seite surfst sollte da so eine Zeile stehen :

netstat -an :

tcp4 0 0 yourlocalip.lokalport 82.165.26.64.80 ESTABLISHED
 
echt0711 schrieb:
Die Maschine hängt an einer DSL Leitung und kriegt spätestens alle 12 Stunden eine neue IP. Es läuft die IPFW in der Standard-Applekonfiguration, habe nur eine Rule über die Systemsteuerung eingebaut, die die Mail-Ports 25 und 110 durchlassen.
Zum Vergrößern anklicken....

Warum lässt du die beiden Ports durch? Betreibst du einen eigenen SMTP und POP Mail-Server?
Ansonsten besteht kein Grund dazu..
Von innen wird ja sowieso alles nach aussen durchgelassen (keep state).

Aber warum netstat abstürzt, kann ich mir jetzt auch nicht erklären.
Was sagt "ps ax | grep netstat"?

cla
 
es ist netstat nicht netstatd ;)
 
Kruemel_ddorf schrieb:
es ist netstat nicht netstatd ;)
Zum Vergrößern anklicken....

Ups...stimmt. Umso unlogischer. Was ruft netstat den so oft auf, das er ständig abstürzen kann?

cla
 
ich kenne kein Programm welches netstat nutzt (wozu auch) ... und genau das versuchen wir gerade herauszufinden was es ist und warum es ist


gruss
Kruemel
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten