kanotix.com :: Thema anzeigen - [GELÖST] tux calling home? NO!

kanotix.com

Schnittstellen - [GELÖST] tux calling home? NO!

mylo - 03.10.2006, 11:47 Uhr
Titel: [GELÖST] tux calling home? NO!

Hallo Leute,

seit kurzem fällt mir auf das wenn ich mein System hochfahre bereits vor Erscheinen des Anmeldebildschirmes, nämlich wenn auf dem Login-Bildschirm die Zeile

"INIT entering run level 5"

mein Router online geht (das sehe ich am gelben Lämpchen, das sonst nur angeht wenn ich ff oder thunderbird starte, also aktiv von mir aus online gehe. Die Alternative wäre das sich jemand meines verschlüsselten Routers bedient.

Ist eine Kontaktaufnahme über das Internet seitens Kanotix im System eingebaut oder muß ich doch einen Hacker fürchten?

Konfig ist:

(Host/Kernel/OS running Linux 2.6.17.11-slh-up-1 i686
[ KANOTIX 2006 Easter ]
CPU Info Pentium III (Coppermine) clocked at [ 804.150 MHz ]
Videocard Matrox Graphics, MGA G400/G450 [ ]
Memory 405.469/503.422MB
HDD Size 61GB (14%used)).
Letztes d-u am ca. 24.9.2006

Ich bereite gerade das Upgrade auf RC4 vor, wollte aber das Phänomen vorher klären.

Vielen Dank für Eure Hinweise. Vorab schon mal sorry das ich hier scheinbar einen Verdacht ausspreche, ist aber eine reine Beobachtung die vorher nicht da war!

ockham23 - 03.10.2006, 11:54 Uhr
Titel: RE: tux calling home?

ntp? Sieh doch mal nach in /var/log/syslog.

mylo - 03.10.2006, 12:19 Uhr
Titel:

Hi ockham23,

sieht so aus. Ich muß mal nachschauen ob ich da was in den Einstellungen verändert habe (mache ich n atürlich nie, manchmal spiele ich aber doch rum). Ich werde dem nachgehen und das Ergebnis incl. einem Labeling Gelöst melden, damit hier keine Zweifel aufkommen. Vielen Dank erst mal für den Hinweis.

Frage noch:
Kann man die syslog einfach in einem Editor verkürzen, also die ersten 500 Seiten im laufenden Betrieb rauslöschen oder gibt das Ärger?

Adapter - 03.10.2006, 13:14 Uhr
Titel:

Hi mylo,
das kann nur ntpdate sein das sich die Uhrzeit holt und mit deiner PC-Uhr synchronisiert.

Gruß Adapter

mylo - 03.10.2006, 15:24 Uhr
Titel:

Hallo Adapter,

habe zuerst im K-Menü Datum&Zeit die automatische Einstellung auf Nulll gesetzt (hatte ntp gefunden). Trotzdem noch keien Änderung! Wie Du richtig vermutest ist ntpdate auch noch unterwegs. Wie werde ich den denn los?

ntpdate[1468]: step time server 193.120.142.71 offset -0.712269 sec

hubi - 03.10.2006, 15:41 Uhr
Titel:

mylo,

schau in knxcc nach, ob beim Systemstart ntpdate unter aktivierten Diensten gelistet ist. Wenn ja, mach den da weg.

hubi

mylo - 03.10.2006, 15:55 Uhr
Titel:

Hallo hubi,

vielen Dank erst mal für den Hinweis! habe mit knxcc ein neues Tool kennengelernt. ntpdate hat aber kein '*' in der Klammer vorne, ist daher meinem Eindruck nach nicht aktiviert.

Gibt es andere Ideen?

hubi - 03.10.2006, 16:13 Uhr
Titel:

mylo,

ohne Stern ist es nicht aktiviert. Noch eine Idee ins Blinde, da es ja beim Start aufgerufen wird, schau mal in /etc/rcS.d bzw. in /etc/rc5.d nach, ob da irgendwas mit Sxxntpdate oder so steht. xx sind zwei Zahlen. Keine Ahnung, ob das da vorkommen kann, aber dort werden die Startskripte aufgerufen.

hubi

mylo - 03.10.2006, 16:32 Uhr
Titel:

hubi,

habe im syslog nach reboot immer noch ntpdate[1467]: step time server 24.130.58.99 offset -0.845699 sec

auftauchen. In rc5 und rcS nichts mit *ntp* ! ???

hubi - 03.10.2006, 16:45 Uhr
Titel:

mylo,

Lösung eventuell hier:
http://kanotix.com/PNphpBB2-viewtopic-t ... pdate.html

apt-get remove zeroconf kdnssd

Falls du keine PC-Direktverbindung brauchst.

Meine vermutlich letzte Idee Winken

hubi

mylo - 03.10.2006, 16:59 Uhr
Titel:

die letzte ist ja meißt die richtige.... ich berichte

mylo - 03.10.2006, 17:03 Uhr
Titel:

apt-get remove zeroconf kdnssd
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut... Fertig
Paket zeroconf ist nicht installiert, wird also auch nicht entfernt
Paket kdnssd ist nicht installiert, wird also auch nicht entfernt

bin für weitere Ideen sehr dankbar

hubi - 03.10.2006, 17:05 Uhr
Titel:

mylo,
irgendwas muss das ntpdate ja starten. Aber was und wo ist das? Hmmmm.

Grüße von
hubi ratlos

Hack-o-Master - 03.10.2006, 17:10 Uhr
Titel:

Und was steht im Verzeichnis /etc/ppp/ip-up.d/ für beim Verbindungsaufbau zu startenden Dingen drin ?

(Hier steht u.a. ein ntpdate Aufruf drin, allerdings kein Router 'nur' DSL-Modem)

mfg. Hack-o-Master

mylo - 03.10.2006, 17:10 Uhr
Titel:

hubi,
vielen Dank noch mal für Deinen Einsatz! Vielleicht fällt ja einem in den nächsten Stunden oder tagen dazu etwas ein....
Oder ich kille das mit dem update-install..mal sehen

Bis demnächst mal!

DANKE!

mylo - 03.10.2006, 17:15 Uhr
Titel:

Hallo Hack-O-master,

0000usepeerdns

00-ipppd

0dns-up

0pppstatus

die 4...muß mal kurz weg, bin in ner h wieder da

Hack-o-Master - 03.10.2006, 17:27 Uhr
Titel:

Der kann es dann nicht sein (hier war er als 40ntpdate drin, und gilt dann auch nur für ppp/pppoe ).

Aber ich habe NOCH eine Stelle gefunden wo ein ntp Aufruf drin ist/sein könnte: /etc/network/if-up.d (Nach dem Hochkommen des Netzwerkinterfaces auszuführende Dinge)
( Gefunden mit der KDE-Suche in /etc nach dem String ntpdate )

mfg. Hack-o-Master

Adapter - 03.10.2006, 19:31 Uhr
Titel:

hi mylo,
unfreeze-rc.d
rcconf
ntpdate raus
freeze-rc.d

Hoffe das geht!

Gruß Adapter

mylo - 03.10.2006, 20:03 Uhr
Titel:

Hallo Hack-oMaster,

Hack-o-Master hat folgendes geschrieben::

...aber ich habe NOCH eine Stelle gefunden wo ein ntp Aufruf drin ist/sein könnte: /etc/network/if-up.d
( Gefunden mit der KDE-Suche in /etc nach dem String ntpdate )

erstmal Glückwunsch weil ich die Idee mit der Suche genial finde!!

Hack-o-Master hat folgendes geschrieben::

...NOCH eine Stelle gefunden wo ein ntp Aufruf drin ist/sein könnte: /etc/network/if-up.d (Nach dem Hochkommen des Netzwerkinterfaces auszuführende Dinge)

JA DA IST EINER...namens ntpdate, kann ich den mal umbenennen oder besser noch (weil so lästig) killen?

Was denkst Du?

mylo - 03.10.2006, 20:09 Uhr
Titel:

Adapter hat folgendes geschrieben::

hi mylo,
unfreeze-rc.d
rcconf
ntpdate raus
freeze-rc.d

Hoffe das geht!

Gruß Adapter

Hallo Adapter,
das probiere ich im 2. Gang aus.

Hack-o-Master - 03.10.2006, 21:34 Uhr
Titel:

mylo hat folgendes geschrieben::

JA DA IST EINER...namens ntpdate, kann ich den mal umbenennen oder besser noch (weil so lästig) killen?

Einfach aus dem Verzeichnis löschen/verschieben (z.B. nach ~/dasi_unnützes/ Sehr glücklich

), oder mit apt-get remove --purge ntpdate ntpdate komplett entfernen.

mfg. Hack-o-Master

hubi - 03.10.2006, 22:09 Uhr
Titel:

mylo, ich denke Hack-O-Master hat's gefunden. rcconf ist die Suche wie in knxcc nach einem Systemstart, iirc, das hatten wir schon. Die Zeile in /etc/network/if-up.d kommentier mal mit Raute und Leerzeichen aus. Dann müsste Ruh sein. Und wenn immer noch nicht, dann hilft Hack-O-Masters Radikallösung definitiv. Wenn dann Ruh ist, dann brauchst du keine Sorgen mehr zu haben.

Für Suche nach Root-Kits verwende ich übrigens rkhunter, dürfte ok von der Qualität sein (verwende es aber selten, da ich mich an einem Desktop mit einem aktuellen Kanotix nicht sonderlich bedroht fühle):
apt-get install rkhunter

Grüße
hubi

mylo - 04.10.2006, 18:55 Uhr
Titel:

[quote="Hack-o-Master"]

mylo hat folgendes geschrieben::

Einfach aus dem Verzeichnis löschen/verschieben
mfg. Hack-o-Master

Hi,

das wars! Habe ntp und ntpdate aus dem Verzeichnis rausverschoben und nu is ruh! Viele Dank Hack-o-Master und hubi!