parere su esito comando lsof-i e netstat

Gio 31 Mar 2005 01:42:49 CEST

Alle 01:20, giovedì 31 marzo 2005, Emilio Anzon ha scritto:
[cut]
>
> [omissis] righe di vaneggiamenti vari :}
>

vabbe' tanto piu' sotto "sveli" di che si tratta...
:-)

> > chiedo lumi a chi ne sa piu' di me, su "cosa siano" questi nomi
> > particolari, ad esempio "bytex" o "cadsi-lm" o "nimrod-agent" correlati
> > agli indirizzi ip
>
> porte "alte" che la tua macchina mappa su nomi che (vai a capire perchè) i
> sistemisti della distro che tu usi hanno messo in /etc/services ma in
> questo caso essendo porte sorgente non ti significano assolutamente
> nulla.
>

qui ci sono.

> > dei client che risulta stiano accedendo alle risorse sul server del
> > cliente. In particolare, desidero specificare che si tratta di macchine
> > sulle quali gira Windows e che sono "palesemente" infette con virus,
> > troiani, spyware et similia...
>
> anche se provi da GNU/Linux vedrai l'accesso eseguito da porte alte
> verso la 20080, come è giusto che sia. Poi che uindaus scelga le porte
> sorgente alla cazzo è un'altra questione :P
>
confermo.

> > ancora, di seguito, l'esito del comando lsof -i:5432, cioe' eseguito sul
> > server per verificare chi in quel momento stesse richiedendo "servizi" al
> > database postgresql:
>
> qui non mi sembrava ci fosse nulla di anomalo
>
no, salvo che mi aspettavo come in altri contesti, una sola riga di 
connessione al database, da parte dell'applicativo locale.

> > ed infine: l'esito del comando netstat, dato da root, sul server in
> > argomento
>
> ma perchè accedono sia dalla 172.10.0.x che dalla 172.10.1.x ???
>
non lo so, e non lo sa, pare, manco chi dovrebbe saperlo...
sembra sia un qualcosa dovuto a lavori di reindirizzamento ip con dhcp 
"uicozz" con assegnazione di ip statici...
riporto testuali parole.

> ma cade _tutta_ la rete ?? a me non sembra da quello che ho visto in
> questi gg. ma hai provato con ab(8) a vedere se appena carichi troppo
> paflow ti si pianta tutta la macchina ?? è plausibile che qualche virus
> provi a contattare un po' troppo il tuo server e lo faccia impallare,
> hai provato a dare di iptables(8) e limitare il traffico (o quantomeno
> le connessioni al sec.) da ogni singola macchina ? sarebbe interessante
> piuttosto di un semplice lsof(8) vedere ognuna di quelle connessioni
> quanto dura, quante vanno in half-close, quante resettano dopo il SYN-ACK
> etc etc insomma un monitoring anche solo di un'ora.
>
> p.s. spesso è colpa di uindaus ma che paflow faccia schifo lo si sapeva
>

:-)

mi basterebbe anche solo capire che sia "colpa" di uinno9s che fa richieste a 
pene di zio bill sulla porta 20080, quando "non dovrebbe farne". Il problema 
si verifica usando viondovs con browser internet esploder o con firefox, il 
problema si presenta solo su "win" non sui client linux che gia' insistono 
nella rete...

-- 
Calogero Bonasia
www.linuxteam.it
Linux User #301822