URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 43685
[ Назад ]

Исходное сообщение
"Непонятная активность хоста"
Отправлено Alexander , 07-Май-04 09:45

Стоят два хоста с адресами 10.0.0.2 и 10.0.0.3
На втором каждое утро от фаервола приходят сообщение о непонятной активности первого
IPT INPUT packet died: IN=eth0 OUT= MAC=00:80:48:eb:8c:49:00:a0:c8:60:3b:cc:08:00 SRC=10.0.0.2 DST=10.0.0.3 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=2936 DF PROTO=TCP SPT=2181 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
Процессы запущеные на первом:
    1 ?        S      0:36 init
    2 ?        SW     0:00 [keventd]
    3 ?        SWN    0:01 [ksoftirqd_CPU0]
    4 ?        SW     0:34 [kswapd]
    5 ?        SW   169:10 [kscand]
    6 ?        SW     0:04 [bdflush]
    7 ?        SW     0:00 [kupdated]
    8 ?        SW<    0:00 [mdrecoveryd]
   14 ?        SW     0:00 [scsi_eh_0]
   18 ?        SW<    0:04 [raid1d]
   19 ?        SWN    0:03 [raid1syncd]
   20 ?        SW    24:01 [kjournald]
  145 ?        SW     0:00 [kjournald]
  568 ?        S     15:35 syslogd -m 0
  573 ?        S      0:01 klogd -2
  620 ?        S      0:00 /sbin/apcupsd -f /etc/apcupsd/apcupsd.conf
  730 ?        S      1:42 /usr/sbin/sshd
  764 ?        S      3:44 xinetd -stayalive -pidfile /var/run/xinetd.pid
  805 ?        S      0:05 /etc/apache/bin/httpd
  831 ?        S      0:00 gpm -t ps/2 -m /dev/mouse
  850 ?        S      0:01 crond
  886 ?        S      0:00 /usr/sbin/atd
  905 tty2     S      0:00 /sbin/mingetty tty2
  906 tty3     S      0:00 /sbin/mingetty tty3
  907 tty4     S      0:00 /sbin/mingetty tty4
  908 tty5     S      0:00 /sbin/mingetty tty5
  909 tty6     S      0:00 /sbin/mingetty tty6
31396 tty1     S      0:00 /sbin/mingetty tty1
16461 ?        S      5:46 /opt/kav/bin/aveserver
16484 ?        S      0:35 sendmail: accepting connections
16488 ?        S      0:04 sendmail: Queue runner@00:01:00 for /var/spool/mqueue
15042 ?        S      0:00 /sbin/mgetty ttyS0 -s 57600
17596 ?        S      0:00 /etc/apache/bin/httpd
17597 ?        S      0:00 /etc/apache/bin/httpd
17598 ?        S      0:00 /etc/apache/bin/httpd
17599 ?        S      0:00 /etc/apache/bin/httpd
17600 ?        S      0:00 /etc/apache/bin/httpd
17846 ?        S      0:00 /etc/apache/bin/httpd

Меня что какой-то гад ломанул или это нормальное явление?

Содержание

Непонятная активность хоста,Chris, 10:38 , 07-Май-04
Непонятная активность хоста,Antonio, 10:38 , 07-Май-04
Непонятная активность хоста,Alexander, 12:53 , 07-Май-04
- Непонятная активность хоста,Antonio, 13:13 , 07-Май-04
  - Непонятная активность хоста,lubeg, 13:18 , 07-Май-04
    - Непонятная активность хоста,Alexander, 13:33 , 07-Май-04
      - Непонятная активность хоста,Antonio, 13:55 , 07-Май-04
      - Непонятная активность хоста,Medlar, 14:15 , 07-Май-04
        
        Непонятная активность хоста,Alexander, 14:59 , 07-Май-04

Сообщения в этом обсуждении

"Непонятная активность хоста"
Отправлено Chris , 07-Май-04 10:38

Ищи чей мак MAC=00:80:48:eb:8c:49:00:a0:c8:60:3b:cc:08:00
в нём и ответ

"Непонятная активность хоста"
Отправлено Antonio , 07-Май-04 10:38

tony:~$ grep 113 /etc/services
auth 113/tcp ident tap #Authentication Service
auth 113/udp ident tap #Authentication Service
Кто там в кроне может долбиться по утрам?

"Непонятная активность хоста"
Отправлено Alexander , 07-Май-04 12:53

Дело в том, что MAC действительно пренадлежит 10.0.0.2
а cron ничего кроме дистрибутивных установок нет

"Непонятная активность хоста"
Отправлено Antonio , 07-Май-04 13:13

>Дело в том, что MAC действительно пренадлежит 10.0.0.2
>а cron ничего кроме дистрибутивных установок нет
Хорошо, переформулируем задачу.
Какой процесс ПО УТРАМ (вот почему я спросил про крон) делает (может делать) auth запрос на вторую машину?

"Непонятная активность хоста"
Отправлено lubeg , 07-Май-04 13:18

>>Дело в том, что MAC действительно пренадлежит 10.0.0.2
>>а cron ничего кроме дистрибутивных установок нет
>
>Хорошо, переформулируем задачу.
>
>Какой процесс ПО УТРАМ (вот почему я спросил про крон) делает (может
>делать) auth запрос на вторую машину?
посмотри что в кроне стоит..
еще посмотри в сторону sendmail'a - бывает у него..

"Непонятная активность хоста"
Отправлено Alexander , 07-Май-04 13:33

в 4:00 каждое утро запускается
00-logwatch bclsec.security rpm tetex.cron
0anacron logrotate slocate.cron tmpwatch
но я не думаю, что бы кто-нибудь из них лез на другую машину...
А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает почту через первую как релей)

"Непонятная активность хоста"
Отправлено Antonio , 07-Май-04 13:55

>в 4:00 каждое утро запускается
>
>00-logwatch   bclsec.security  rpm
>    tetex.cron
>0anacron      logrotate
>  slocate.cron  tmpwatch
>
>но я не думаю, что бы кто-нибудь из них лез на другую
>машину...
>
>А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает
>почту через первую как релей)
Вот оно, если совпадает по времени.

"Непонятная активность хоста"
Отправлено Medlar , 07-Май-04 14:15

>А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает
>почту через первую как релей)

Если sendmail собран не с опцией
define(`confREAD_TIMEOUT',`Ident=0')dnl
то первое, что он делает, - посылает запрос на 113 порт.
http://www.sendmail.org/faq/section3.html#3.12
"... On most systems version 8 sendmail tries to do a ``callback'' to the connecting host to get a validated user name (see RFC 1413 for detail)..."

"Непонятная активность хоста"
Отправлено Alexander , 07-Май-04 14:59

Спасибо!
Точно - так оно и есть.