форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Непонятная активность хоста"
Сообщение от Alexander (??) on 07-Май-04, 09:45  (MSK)
Стоят два хоста с адресами 10.0.0.2 и 10.0.0.3 На втором каждое утро от фаервола приходят сообщение о непонятной активности первого IPT INPUT packet died: IN=eth0 OUT= MAC=00:80:48:eb:8c:49:00:a0:c8:60:3b:cc:08:00 SRC=10.0.0.2 DST=10.0.0.3 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=2936 DF PROTO=TCP SPT=2181 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0 Процессы запущеные на первом:     1 ?        S      0:36 init     2 ?        SW     0:00 [keventd]     3 ?        SWN    0:01 [ksoftirqd_CPU0]     4 ?        SW     0:34 [kswapd]     5 ?        SW   169:10 [kscand]     6 ?        SW     0:04 [bdflush]     7 ?        SW     0:00 [kupdated]     8 ?        SW<    0:00 [mdrecoveryd]    14 ?        SW     0:00 [scsi_eh_0]    18 ?        SW<    0:04 [raid1d]    19 ?        SWN    0:03 [raid1syncd]    20 ?        SW    24:01 [kjournald]   145 ?        SW     0:00 [kjournald]   568 ?        S     15:35 syslogd -m 0   573 ?        S      0:01 klogd -2   620 ?        S      0:00 /sbin/apcupsd -f /etc/apcupsd/apcupsd.conf   730 ?        S      1:42 /usr/sbin/sshd   764 ?        S      3:44 xinetd -stayalive -pidfile /var/run/xinetd.pid   805 ?        S      0:05 /etc/apache/bin/httpd   831 ?        S      0:00 gpm -t ps/2 -m /dev/mouse   850 ?        S      0:01 crond   886 ?        S      0:00 /usr/sbin/atd   905 tty2     S      0:00 /sbin/mingetty tty2   906 tty3     S      0:00 /sbin/mingetty tty3   907 tty4     S      0:00 /sbin/mingetty tty4   908 tty5     S      0:00 /sbin/mingetty tty5   909 tty6     S      0:00 /sbin/mingetty tty6 31396 tty1     S      0:00 /sbin/mingetty tty1 16461 ?        S      5:46 /opt/kav/bin/aveserver 16484 ?        S      0:35 sendmail: accepting connections 16488 ?        S      0:04 sendmail: Queue runner@00:01:00 for /var/spool/mqueue 15042 ?        S      0:00 /sbin/mgetty ttyS0 -s 57600 17596 ?        S      0:00 /etc/apache/bin/httpd 17597 ?        S      0:00 /etc/apache/bin/httpd 17598 ?        S      0:00 /etc/apache/bin/httpd 17599 ?        S      0:00 /etc/apache/bin/httpd 17600 ?        S      0:00 /etc/apache/bin/httpd 17846 ?        S      0:00 /etc/apache/bin/httpd Меня что какой-то гад ломанул или это нормальное явление?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Непонятная активность хоста"
Сообщение от Chris (??) on 07-Май-04, 10:38  (MSK)
Ищи чей мак MAC=00:80:48:eb:8c:49:00:a0:c8:60:3b:cc:08:00 в нём и ответ
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Непонятная активность хоста"
Сообщение от Antonio (??) on 07-Май-04, 10:38  (MSK)
tony:~$ grep 113 /etc/services auth            113/tcp    ident tap    #Authentication Service auth            113/udp    ident tap    #Authentication Service Кто там в кроне может долбиться по утрам?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Непонятная активность хоста"
Сообщение от Alexander (??) on 07-Май-04, 12:53  (MSK)
Дело в том, что MAC действительно пренадлежит 10.0.0.2 а cron ничего кроме дистрибутивных установок нет
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Непонятная активность хоста"
	Сообщение от Antonio (??) on 07-Май-04, 13:13  (MSK)
	>Дело в том, что MAC действительно пренадлежит 10.0.0.2 >а cron ничего кроме дистрибутивных установок нет Хорошо, переформулируем задачу. Какой процесс ПО УТРАМ (вот почему я спросил про крон) делает (может делать) auth запрос на вторую машину?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Непонятная активность хоста"
	Сообщение от lubeg (??) on 07-Май-04, 13:18  (MSK)
	>>Дело в том, что MAC действительно пренадлежит 10.0.0.2 >>а cron ничего кроме дистрибутивных установок нет > >Хорошо, переформулируем задачу. > >Какой процесс ПО УТРАМ (вот почему я спросил про крон) делает (может >делать) auth запрос на вторую машину? посмотри что в кроне стоит.. еще посмотри в сторону sendmail'a - бывает у него..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Непонятная активность хоста"
	Сообщение от Alexander (??) on 07-Май-04, 13:33  (MSK)
	в 4:00 каждое утро запускается 00-logwatch   bclsec.security  rpm           tetex.cron 0anacron      logrotate        slocate.cron  tmpwatch но я не думаю, что бы кто-нибудь из них лез на другую машину... А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает почту через первую как релей)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Непонятная активность хоста"
	Сообщение от Antonio (??) on 07-Май-04, 13:55  (MSK)
	>в 4:00 каждое утро запускается > >00-logwatch   bclsec.security  rpm       >    tetex.cron >0anacron      logrotate       >  slocate.cron  tmpwatch > >но я не думаю, что бы кто-нибудь из них лез на другую >машину... > >А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает >почту через первую как релей) Вот оно, если совпадает по времени.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Непонятная активность хоста"
	Сообщение от Medlar on 07-Май-04, 14:15  (MSK)
	>А сендмейлу какого надо от 113 (правда бывает, что вторая машина пересылает >почту через первую как релей) Если sendmail собран не с опцией define(`confREAD_TIMEOUT',`Ident=0')dnl то первое, что он делает, - посылает запрос на 113 порт. http://www.sendmail.org/faq/section3.html#3.12 "... On most systems version 8 sendmail tries to do a ``callback'' to the connecting host to get a validated user name (see RFC 1413 for detail)..."
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Непонятная активность хоста"
	Сообщение от Alexander (??) on 07-Май-04, 14:59  (MSK)
	Спасибо! Точно - так оно и есть.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.