staging.inyokaproject.org

Hallo zusammen!

Heute und gestern, jeweils kurz nach Mitternacht, hat Google mir den Zutritt verwehrt mit folgender Meldung:

Mein Ubuntu wird wohl nicht der Auslöser sein - wüsste nicht, warum.

Der Windows-Client im Netzwerk (mein Mitbewohner) scheint mir das schon verdächtiger. AntiVir hat jetzt aber nichts gefunden, hat auch aktuelle Signaturen.

Meine Frage nun: Wie kann ich denn an meinem Debian-Router-PC den Netzwerkverkehr dieses Windows-Rechners überprüfen? Gibts da ein Tool, welches mir anzeigen würde: "He, da greift dieser Rechner im Netz ständig auf google.de oder eine bestimmte IP zu"?

Wie könnte ich vorgehen? Interessant ist im Moment grundsätzlich was ich am Server überwachen könnte. Eine Firewall am Windows-Client werden wir morgen mal installieren.

Sagt jemandem diese Google-Meldung was?

Vielleicht schreibt dein Router ja Log Dateien.
Bei meinem HW Router habe ich da schon machmal aufschlußreiche Hinweise gefunden, besonders wenn das Modem ausgeschaltet ist. Da stehen dann so interessante Dinge drinn wie: "Verbindungsaufbau wegen DNS Anfrage zu Adobe Talkbroker von 192.168.123.30" u.s.w.

Oder einen Proxyserver zwischenschalten (ich benutze noch Jana2, Win),. In Einzelfällen kann man auch mal ethereal einsetzen.

Dakuan

Ja der Debian Router schreibt ein Log allerdings ist das ohne zustäzliche Tools schwer auszuwerten schau dir unter /var/log/ mal alle messages.<x> Dateien an da steht die komplette Protokollierung von iptables drinn.

Die Frage dabei ist natürlich hast du den Debian-Router so konfiguriert das er auch fein logt? Must im iptables-Script angeben.

Also - das Problem tritt jetzt ständig auf, bei allen möglichen Suchbegriffen. Aber nicht immer.

Das Problem tritt auch auf, wenn der Windows-Client seit Stunden nicht mehr am Netz ist.

Iptables loggt bei mir nur bestimmte Sachen - ich habe das iptables-skript von Arno: http://rocky.molphys.leidenuniv.nl/

Sollte also tatsächlich ein Wurm oder sonstwas von unserem Netzwerk auf Google zugreifen, so müssen diese Zugriffe von einem Linux-Rechner (Debian oder Ubuntu) kommen.

Wie kann ich das denn feststellen? Welche Aktionen müssten geloggt werden? Kann mir da jemand helfen? Scheint mir sehr dubios, die ganze Geschichte!

Sehe ich das richtig, daß euer Debian-Router dauerhaft am Internet hängt (DSL-Flatrate) ?

Dann wäre mein Verdacht, daß irgendwer euren Router gehackt hat und irgendwas hinterlassen hat, was den permanenten Anfragefluß produziert.
Eine Möglichkeit auszutesten ob dein Rechner oder der deines Mitbewohnis der der Verursacher sind, besteht darin, eure beiden Rechner mit einem OS das garantiert 'Clean' ist ins Internet zu schicken. Einfach mal Knoppix oder Ubuntu-Live von der CD booten und nacheinander eure beiden Clients austesten. Wenn die Probleme mit Google weiterhin auftreten, liegt es zumindest nicht (nur) an 'verseuchten' Clients.

Also der Windows-Rechner scheidet quasi als Verursacher aus. Der war die ganze Nacht nicht an, und heute Morgen bestand das Problem.

Leider ist diese Google-Meldung ja aber nicht reproduzierbar - mal passiert es, mal nicht.

Im Prinzip suche ich nach einer Möglichkeit, feststellen zu können, welche IP-Adressen gehäuft aufgerufen werden.

schneiko hat geschrieben:

Im Prinzip suche ich nach einer Möglichkeit, feststellen zu können, welche IP-Adressen gehäuft aufgerufen werden.

Hast du es schon mal tcpdump versucht!? Damit kann man den Verkehr ganz gut überwachen.

tcpdump... gerade mal installiert... mehr als 1000 Zeilen man-pages

Dafür fehlt mir im Moment ehrlich gesagt die Zeit. Da sitz ich erst wieder 2 Stunden, bevor ich weiss, welche Parameter ich angeben muss...

Also wie auch immer: Diese Google-Meldung kommt nun seit einigen Tagen nicht mehr. Schätze mal einfach, das lag gar nicht an unseren Rechnern, sondern war irgendwie falscher Alarm von Google.

Trotzdem Danke für die Tipps...