confixx_counterscript und massig traffic auf UDP 14716

Post by **truenoir** » 2004-02-23 13:35

Hi!

System: SuSE Linux 7.2 Kernel 2.4.18
Confixx Professional

Nachdem das confixx_counterscript.pl gelaufen ist (passiert ja im Minutentakt), bekomme ich immer folgende Connects:

Auszug aus /var/log/messages

Code: Select all

Feb 23 12:29:00 pxxxxxxxx /USR/SBIN/CRON[13439]: (root) CMD (/root/confixx/confixx_counterscript.pl) 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=61.229.51.7 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=108 ID=48476 PROTO=UDP SPT=3127 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.113.239.86 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=41470 PROTO=UDP SPT=5988 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.113.239.86 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=41487 PROTO=UDP SPT=5988 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.33.189.230 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=54431 PROTO=UDP SPT=1078 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.33.189.230 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=54488 PROTO=UDP SPT=1078 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.33.189.230 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=54525 PROTO=UDP SPT=1078 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=61.229.51.7 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=108 ID=48524 PROTO=UDP SPT=3127 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.33.189.230 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=54562 PROTO=UDP SPT=1078 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.33.189.230 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=117 ID=54606 PROTO=UDP SPT=1078 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=195.20.224.234 DST=217.160.xxx.xxx LEN=81 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=51101 LEN=61 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=195.20.224.234 DST=217.160.xxx.xxx LEN=81 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=UDP SPT=53 DPT=51102 LEN=61 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=62.101.180.157 DST=217.160.xxx.xxx LEN=30 TOS=0x00 PREC=0x00 TTL=104 ID=305 PROTO=UDP SPT=1105 DPT=14716 LEN=10 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=61.229.51.7 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=108 ID=48713 PROTO=UDP SPT=3127 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=61.229.51.7 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=108 ID=48728 PROTO=UDP SPT=3127 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64655 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64657 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=217.89.16.96 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=121 ID=32823 PROTO=UDP SPT=1160 DPT=14716 LEN=26 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=151.44.88.251 DST=217.160.xxx.xxx LEN=34 TOS=0x00 PREC=0x00 TTL=116 ID=45304 PROTO=UDP SPT=1031 DPT=14716 LEN=14 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=151.44.88.251 DST=217.160.xxx.xxx LEN=30 TOS=0x00 PREC=0x00 TTL=116 ID=45305 PROTO=UDP SPT=1031 DPT=14716 LEN=10 
Feb 23 12:29:02 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64661 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64665 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64666 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64670 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=81.215.97.50 DST=217.160.xxx.xxx LEN=46 TOS=0x00 PREC=0x00 TTL=112 ID=64673 PROTO=UDP SPT=3494 DPT=14716 LEN=26 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.38.119.128 DST=217.160.xxx.xxx LEN=34 TOS=0x00 PREC=0x00 TTL=118 ID=47857 PROTO=UDP SPT=3042 DPT=14716 LEN=14 
Feb 23 12:29:03 pxxxxxxxx kernel: MAC-Log: IN=eth0 OUT= MAC=00:e0:4c:xx:xx:xx:00:60:08:f7:12:d8:08:00 SRC=80.38.119.128 DST=217.160.xxx.xxx LEN=30 TOS=0x00 PREC=0x00 TTL=118 ID=47858 PROTO=UDP SPT=3042 DPT=14716 LEN=10

Allerdings sind das immer wieder andere IPs aber immer mit der selben MAC-Adresse...

Weiß einer, was das sein kann, bzw. kann ich via iptables die MAC im Prerouting einfach sperren, ohne das Confixx bzw. die Lizenzierung dadurch beeinträchtigt wird? :?:

Ich nehme aber an, das das mit der MAC wohl nicht geht... aber vielleicht den Port 14716 sperren?

Danke
TrueNoir

Post by **dea** » 2004-02-23 15:28

Klar kannst Du über ARPTables auch die angezeigte MAC-Adresse "sperren".

Wunder' Dich aber bitte nicht, wenn Deine Kiste unmittelbar danach "Offline" zu sein scheint, schließlich handelt es sich bei dieser MAC-Adresse wahrscheinlich(st) um Deinen (einzigen) Next-Hop ... :twisted:

Post by **truenoir** » 2004-02-23 15:40

dea wrote:Klar kannst Du über ARPTables auch die angezeigte MAC-Adresse "sperren".

Wunder' Dich aber bitte nicht, wenn Deine Kiste unmittelbar danach "Offline" zu sein scheint, schließlich handelt es sich bei dieser MAC-Adresse wahrscheinlich(st) um Deinen (einzigen) Next-Hop ... :twisted:

Das war mir schon fast klar. Deshalb ja auch die Frage, ob ich einfach den UDP 14716 sperren kann oder braucht das Confixx-Counterscript den? Ich meine, der Traffic kommt immer genau nach dem das Script gestartet wurde. Und ich kann nichts anderes finden, was auf Port 14716 laufen sollte. Laut IANA ist der unassigned

Post by **captaincrunch** » 2004-02-23 16:15

Ich würde mir eher Gedanken machen, was da auf dem Port vorgeht. Selbst dieses Confixx-Zeugs dürfte den wohl kaum brauchen, und wenn, wäre das ein Grund mehr für mich, das ganze ASAP in die Tonne zu treten. ;)

Post by **truenoir** » 2004-02-23 18:20

Wie kann ich denn herausbekommen, was auf dem Port läuft?

Ich hab jetzt via iptables den udp port 14716 in der prerouting auf drop gesetzt und alles scheint weiterhin normal zu funktionieren.

Leider bin ich noch nicht ganz so fit, um alles ohne Confixx zu machen.

Post by **r00ty** » 2004-02-23 18:33

wiviel ist denn der 'massig Traffic' ?
und schonmal so ein paket gesnifft ?
wenn du das script selbst aufrufst wird das paket auch gesendet / empfangen ?

Post by **captaincrunch** » 2004-02-23 19:05

netstat -upn | grep 14761

Post by **truenoir** » 2004-02-23 20:04

also da gibts nur den xntpd:

Code: Select all

root:~ # netstat -upn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
udp        0      0 127.0.0.1:32768         127.0.0.1:123           ESTABLISHED 350/xntpd

Bei mehrmaligen versuchen sind ab und zu noch folgende Zeilen zu sehen:

Code: Select all

udp        0      0 217.xxx.xxx.xxx:52169    195.20.224.234:53       ESTABLISHED 22747/perl          
udp      316      0 217.xxx.xxx.xxx:52170    195.20.224.234:53       ESTABLISHED 22747/perl

Aber nix auf 14716, auch nicht bei tcp....

Post by **captaincrunch** » 2004-02-23 20:21

Starte doch einfach mal einen tcpdump auf den betreffenden Port, und schau dir an, was da so drübergeht.

Post by **truenoir** » 2004-02-24 07:49

Also inzwischen kommen diese Zugriffe anscheinend nicht nur nach dem Confixx-Script, sondern ständig....

Auszug aus tcpdump:

Code: Select all

07:34:05.824180 218.163.146.183.64436 > 217.xxx.xxx.xxx.14716: udp 18 (ttl 107, id 2370)
                         4500 002e 0942 0000 6b11 a102 daa3 92b7
                         xxxx xxxx fbb4 397c 001a 1e29 e39a 1743
                         8052 642a 2eca c234 d41e 48c1 19ab
07:34:33.836785 80.178.180.145.4070 > 217.xxx.xxx.xxx.14716: udp 6 (ttl 118, id 21142)
                         4500 0022 5296 0000 7611 b4d1 50b2 b491
                         xxxx xxxx 0fe6 397c 000e c4e6 e396 2639
                         aa55 0000 0000 0000 0000 0000 0000
07:34:33.843216 80.178.180.145.4070 > 217.xxx.xxx.xxx.14716: udp 2 (ttl 118, id 21144)
                         4500 001e 5298 0000 7611 b4d3 50b2 b491
                         xxxx xxxx 0fe6 397c 000a 9571 e3a2 0000
                         0000 0000 0000 0000 0000 0000 0000
07:34:39.532094 217.236.245.70.magicnotes > 217.xxx.xxx.xxx.14716: udp 18 (ttl 121, id 49496)
                         4500 002e c158 0000 7911 7913 d9ec f546
                         xxxx xxxx 0bcf 397c 001a 257f e39a c781
                         98ff e8ae ecc9 4fb0 8f2f 0c57 88d0
07:34:40.788739 217.236.245.70.magicnotes > 217.xxx.xxx.xxx.14716: udp 18 (ttl 121, id 49516)
                         4500 002e c16c 0000 7911 78ff d9ec f546
                         xxxx xxxx 0bcf 397c 001a 7a23 e39a 586b
                         10ab 3deb 27a8 ae8d 16e7 7999 47a5
07:34:41.678853 217.236.245.70.magicnotes > 217.xxx.xxx.xxx.14716: udp 18 (ttl 121, id 49530)
                         4500 002e c17a 0000 7911 78f1 d9ec f546
                         xxxx xxxx 0bcf 397c 001a 9eeb e39a 8d92
                         c431 7987 083c a1e3 0aee 2cae 838d
07:34:42.582255 217.236.245.70.magicnotes > 217.xxx.xxx.xxx.14716: udp 18 (ttl 121, id 49554)
                         4500 002e c192 0000 7911 78d9 d9ec f546
                         xxxx xxxx 0bcf 397c 001a f14f e39a dac6
                         f367 b13b 8dd8 40eb 99c6 43c5 b276
07:34:43.536221 217.236.245.70.magicnotes > 217.xxx.xxx.xxx.14716: udp 18 (ttl 121, id 49570)
                         4500 002e c1a2 0000 7911 78c9 d9ec f546
                         xxxx xxxx 0bcf 397c 001a 1e21 e39a 7524
                         ac3d 4c7e 5566 9888 0aa1 96f6 b3f8
07:34:44.446497 213.140.17.102.20502 > 217.xxx.xxx.xxx.14716: udp 6 (ttl 107, id 51041)
                         4500 0022 c761 0000 6b11 6957 d58c 1166
                         xxxx xxxx 5016 397c 000e 9007 e396 3939
                         aa55 0000 0000 0000 0000 0000 0000
07:34:44.447652 213.140.17.102.20502 > 217.xxx.xxx.xxx.14716: udp 2 (ttl 107, id 51042)
                         4500 001e c762 0000 6b11 695a d58c 1166
                         xxxx xxxx 5016 397c 000a 7392 e3a2 0000
                         0000 0000 0000 0000 0000 0000 0000

Das sagt mir zwar nichts, aber vielleicht kann ja einer sagen, was das zu bedeuten hat....

Post by **captaincrunch** » 2004-02-24 09:01

Anhand der Daten kann ich dir zwar nicht ad hoc sagen, was genau das ist, mich persönlich würd's aber massiv beunruhigen.

Post by **truenoir** » 2004-02-24 13:37

Das tut's ja auch. Deshalb hab ich ja nachgefragt, was das sein könnte. Trotzdem hab ich's per iptables jetzt gesperrt und werde wohl abwarten müssen, ob irgendwas passiert.
Bis jetzt läuft alles jedenfalls noch einwandfrei.

RootForum Community

confixx_counterscript und massig traffic auf UDP 14716

confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716

Re: confixx_counterscript und massig traffic auf UDP 14716