netstat -t // Was ist denn hier los?

S

sevY

Hi,

fangen wir mal ganz sachlich an… mittels netstat -t kann ich mir, soviel ich weiss, die aktuellen TCP Verbindungen ansehen. Ok. Ich habe einfach zum Test mal 2 Server, die in einem Rechenzentrum stehen und produktiv arbeiten, damit abgefragt.

Code: 
tcp        0      0 Newton:ftp              i5387xxx.versane:21015 ESTABLISHED 
tcp        0      0 Newton:pop3             i5387Axxx.versane:34125 ESTABLISHED 
tcp        0      0 Newton:pop3             d0xxx.adsl.hans:58953 TIME_WAIT   
tcp        0      0 Newton:pop3             d0xxx.adsl.hans:58955 TIME_WAIT   
tcp        0      0 Newton:pop3s            i53xxx.versane:34374 ESTABLISHED 
tcp        0      0 Newton:pop3             d0xxx.adsl.hans:58954 TIME_WAIT   
tcp        0      0 Newton:pop3s            i5xxx44C.versane:34502 ESTABLISHED 
tcp        0      0 Newton:pop3             dxx29.adsl.hans:58967 TIME_WAIT   
tcp        0      0 Newton:pop3s            i5xx4C.versane:34332 ESTABLISHED 
tcp        0      0 Newton:pop3             p5xx9x93.dip0.t-:58316 TIME_WAIT   
tcp        0      0 Newton:pop3             p5xxx3.dip0.t-:58317 TIME_WAIT   
tcp        0      0 Newton:pop3             dsl-xx-229-0:58643 TIME_WAIT

Sieht doch ganz ok aus… sind halt ein paar Leute, die Ihre Emailadressen abfragen und FTP'ing…

Auf dem Backupserver, der auch im RZ steht, sind nur 2 Verbindung zu sehen… dort wo ich gerade per SSH drinhänge und dort, wo gerade ein anderer Server seine Logfiles dort deponiert.

Auch hier… alles ok. Und jetzt das ganze mal am iMac… das ist mein Bürorechner. Was ist da bloß los?!

Code: 
tcp4       0      0  192.168.0.10.ssh       192.168.0.10.61030     ESTABLISHED
tcp4       0      0  192.168.0.10.61030     192.168.0.10.ssh       ESTABLISHED
tcp4       0      0  192.168.0.10.61028     adsl-200-119-231.6881  SYN_SENT
tcp4       0      0  192.168.0.10.61026     213.167.96.196.18938   SYN_SENT
tcp4       0      0  192.168.0.10.61024     201-248-180-227..gnute SYN_SENT
tcp4       0      0  192.168.0.10.61023     fla1acc253.tky.m.6881  SYN_SENT
tcp4       0      0  192.168.0.10.61022     lp-nat3.cable-ne.6890  SYN_SENT
tcp4       0      0  192.168.0.10.61021     hse-sudbury-ppp3.6881  SYN_SENT
tcp4       0      0  192.168.0.10.60443     192.168.0.5.65000      ESTABLISHED
tcp4       0  58109  192.168.0.10.60381     61.68.119.215.6008     ESTABLISHED
tcp4       0  20625  192.168.0.10.60278     246.214-200-80.a.9152  ESTABLISHED
tcp4       0      9  192.168.0.10.60275     82-33-194-159.ca.13854 ESTABLISHED
tcp4       0  65362  192.168.0.10.59496     acca11af.ipt.aol.21250 ESTABLISHED
tcp4       0      0  192.168.0.10.afpovertc 192.168.0.30.53871     ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1010         ESTABLISHED
tcp4       0      0  localhost.1010         localhost.netinfo-loca ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49172        ESTABLISHED
tcp4       0      0  localhost.49172        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49171        ESTABLISHED
tcp4       0      0  localhost.49171        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49170        ESTABLISHED
tcp4       0      0  localhost.49170        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1019         ESTABLISHED
tcp4       0      0  localhost.1019         localhost.netinfo-loca ESTABLISHED
 
Zuletzt bearbeitet von einem Moderator:
So sieht es auf dem Sawtooth aus, der auch im Netz hängt:

Code: 
tcp4       0     48  192.168.0.20.ssh       192.168.0.10.61080     ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1008         ESTABLISHED
tcp4       0      0  localhost.1008         localhost.netinfo-loca ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49185        ESTABLISHED
tcp4       0      0  localhost.49185        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49184        ESTABLISHED
tcp4       0      0  localhost.49184        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.ipulse-ics   localhost.49183        ESTABLISHED
tcp4       0      0  localhost.49183        localhost.ipulse-ics   ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1021         ESTABLISHED
tcp4       0      0  localhost.1021         localhost.netinfo-loca ESTABLISHED

Und so sieht es auf dem iBook aus, der via Airport ebenfalls im Netzwerk ist.
Code: 
tcp4       0     48  192.168.0.30.ssh       192.168.0.10.61088     ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1001         ESTABLISHED
tcp4       0      0  localhost.1001         localhost.netinfo-loca ESTABLISHED
tcp4       0      0  192.168.0.30.53871     192.168.0.10.afpovertc ESTABLISHED
tcp4       0      0  localhost.netinfo-loca localhost.1015         ESTABLISHED
tcp4       0      0  localhost.1015         localhost.netinfo-loca ESTABLISHED
tcp4       0      0  192.168.0.30.ipulse-ic 192.168.0.30.49185     ESTABLISHED
tcp4       0      0  192.168.0.30.49185     192.168.0.30.ipulse-ic ESTABLISHED
tcp4       0      0  192.168.0.30.ipulse-ic 192.168.0.30.49184     ESTABLISHED
tcp4       0      0  192.168.0.30.49184     192.168.0.30.ipulse-ic ESTABLISHED
tcp4       0      0  192.168.0.30.ipulse-ic 192.168.0.30.49183     ESTABLISHED
tcp4       0      0  192.168.0.30.49183     192.168.0.30.ipulse-ic ESTABLISHED

Der Linuxbackuprechner zeigt ebenfalls nur die SSH Verbindung an, mit der ich auf ihn zugreife.



Also… das was seltsam ist, sind die Netstat Werte vom iMac…
 
tja, die ports sagen doch schon einiges über deine filesharing aktivitäten ,)
 
Darum geht es mir:

Code: 
tcp4       0      0  192.168.0.10.61028     adsl-200-119-231.6881  SYN_SENT
tcp4       0      0  192.168.0.10.61026     213.167.96.196.18938   SYN_SENT
tcp4       0      0  192.168.0.10.61024     201-248-180-227..gnute SYN_SENT
tcp4       0      0  192.168.0.10.61023     fla1acc253.tky.m.6881  SYN_SENT
tcp4       0      0  192.168.0.10.61022     lp-nat3.cable-ne.6890  SYN_SENT
tcp4       0      0  192.168.0.10.61021     hse-sudbury-ppp3.6881  SYN_SENT
tcp4       0  58109  192.168.0.10.60381     61.68.119.215.6008     ESTABLISHED
tcp4       0  20625  192.168.0.10.60278     246.214-200-80.a.9152  ESTABLISHED
tcp4       0      9  192.168.0.10.60275     82-33-194-159.ca.13854 ESTABLISHED
tcp4       0  65362  192.168.0.10.59496     acca11af.ipt.aol.21250 ESTABLISHED
 
das sind aber ausgehende verbindungen...
irgendwas hast du auf dem imac laufen...
 
Filesharing, peer-2-peer, z.B. Skype oder sowas in der Art scheint da zu laufen... was soll daran seltsam sein?
 
Es läuft nichts ausser Mail, SSH, Safari. Ich kann auch mit „ps aux“ oder gar „top“ keine Daemons oder so finden.
Die Ports hier sind die typischen BitTorrent Ports. Kann es sein, dass irgendwas über Airport sich „vermischt“? Ist jetzt eine blöde Frage… aber iBook und iMac sind beide via Airport an eine Airport Express Station angebunden.

Das einzige was hier an Filesharing läuft, ist ein alter Windowsrechner… und der steht aber wiederum in 2 Wohnung höher… wir haben ja das Haus hier vernetzt.

Kann den iMac jemand als Proxy verwenden? Wäre aber doch unsinnig… Zumindest läuft auf dem iMac Apache 1.3 mit mod_proxy.
 
Scribble schrieb:
Filesharing, peer-2-peer, z.B. Skype oder sowas in der Art scheint da zu laufen... was soll daran seltsam sein?
Zum Vergrößern anklicken....
Seltsam ist daran, dass ich auf dem iMac, iBook oder Sawtooth keine Filesharing & Co. Dienste laufen habe… das ist mein Arbeitswerkzeug… da gehört soetwas nicht drauf.
Das einzige, was ich manchmal mache, ist Filesharing über einen Windowsrechner… der ist aber schon seit gut 10 Tagen vom Netz, da die HDD gecrasht ist. Und die letzte Möglichkeit der eigenen Aktivitäten wäre die kleine Linuxbox… und da läuft wie schon gesagt nichts…
 
Bist du dir wirklich sicher, dass da wirklich nichts läuft? Was sagt netstat wenn du frisch rebootet hast? Was sagt es nach zehn Minuten? Was wenn der iMac offline ist, sprich AirPort deaktiviert?
 
oder du hast dich ausversehen in der Shell vertan? :) Ist mir auch schonmal passiert, später hab ich dann bemerkt, dass ich ja auf einem ganz anderen Rechner war (per ssh) :) ... soll keine Unterstellung sein. Das sich da irgendwas mit anderen Rechnern vermischt kann ich mir kaum vorstellen. Die Option -t ist in der netstat man-page auch garnicht dokumentiert (zumindest nicht auf'm mac). Auf einem Linux steht, dass -t einfach die TCP-Verbindungen anzeigt. Auf dem Mac macht man das laut manpage mit "netstat -p tcp" probiers doch mal so.
 
Hi,

netstat -t filtert die TCP Verbindungen in der Ausgabe… das ist auf dem Mac auch so… ich lese selten die Darwin/BSD Manpages… funktioniert meist eh genauso wie unter Gentoo Linux.

Sobald Airport offline ist, sind auch die Verbindungen weg.
Nach einem Reboot war erstmal nichts, dann aber wieder ein paar der Verbindungen wie o.a. .
Interessant war, dass auch nach einer Trennung der Internetverbindung diese Dienste aktiv waren… und wenn ich per Kabel mit dem iMac Online gegangen bin und die Airport Station vom Switch getrennt habe, alles ok war.
Es kommt also scheinbar über Airport.

Was ich vermute ist, dass jemand über Airport auf den iMac gekommen ist… SSH bruteforced und dann einen Daemon installiert hat. Der scheint derzeit gut versteckt.

Nur… wo finde ich nun Airport Logfiles? Und wo sind unter Mac OS X die SSH Logfiles?

//Edit:

Ich habe hier um mich herum derzeit 11 sichtbare WLANs… verwunderlich wäre es nicht.
 
Zuletzt bearbeitet von einem Moderator:
Yves schrieb:
...
netstat -t filtert die TCP Verbindungen in der Ausgabe… das ist auf dem Mac auch so…
...
Zum Vergrößern anklicken....
bei mir nicht.
Ich bekomme da auch die UDP und die Unix Domainsockets
Yves schrieb:
...
SSH bruteforced und dann einen Daemon installiert hat.
...
Zum Vergrößern anklicken....
Kann ich mir nur sehr schwer vorstellen; derjenige müsste ja einen Benutzernamen _und_ ein Passwort erraten haben, die zusammengehören.
 
maceis schrieb:
Kann ich mir nur sehr schwer vorstellen; derjenige müsste ja einen Benutzernamen _und_ ein Passwort erraten haben, die zusammengehören.
Zum Vergrößern anklicken....
root ist nicht schwer zu erraten…
 
ssh mit erlaubtem root login?

auah! das ist aber eine erhebliche Sicherheitslücke und noch dazu eine völlig überflüssige.

IIRC ist das root-login beim sshd per Default ja deaktiviert.
Hast Du das tatsächlich freigeschaltet? - Wozu?

Außerdem müsste noch auf dem ssh Server root aktiviert sein?
Hast Du das gemacht? Brauchst Du das wirklich?
Wozu?
 
Okay, ich habe nachgelesen und muss mich korrigieren.

Zumindest in der unter Tiger installierten OpenSSH Version ist der Default Wert für PermitRootLogin "yes".
Unter der Vorversion war der Default Wert noch "no".
Warum das geändert wurde kann ich nicht sagen.
Gut finde ich es nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten