---

Jeg sidder lige og følger lidt med i min /var/log/messages, og hvert
andet minut kommer der er en besked jeg ikke lige kan tyde:

<snip>
Nov 26 19:02:33 geekonline inetd[4469]: pid 8266: exit status 1
Nov 26 19:04:33 geekonline inetd[4469]: pid 8268: exit status 1
Nov 26 19:06:33 geekonline inetd[4469]: pid 8270: exit status 1
Nov 26 19:08:34 geekonline inetd[4469]: pid 8272: exit status 1
</snip>

Er der ikke en der kan lede mig lidt på sporet af hvad det er?

Systemet er en RedHat 6.2.


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

I wrote:

>Jeg sidder lige og følger lidt med i min /var/log/messages, og hvert
>andet minut kommer der er en besked jeg ikke lige kan tyde:

Fandt også lige dem her:
<snip>
Nov 26 19:18:51 geekonline inetd[4469]: auth/tcp: bind: Address
already in use
Nov 26 19:18:51 geekonline inetd[4469]: smtp/tcp: bind: Address
already in use
</snip>

Jeg tvivler lidt på at de skal være der, men kan ikke gennemskue hvad
der går galt?


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

Dennis SHA skrev:

> Nov 26 19:18:51 geekonline inetd[4469]: auth/tcp: bind: Address
> already in use

Det ser ud som om nogen prøver at åbne port 53 (men hvorfor skulle det
ske fra inetd?), som altså allerede er i brug.

Må vi ikke få hele din /etc/inetd.conf (bare de linier der ikke er
kommenteret ud)?

Hør, det er vel ikke sådan at du starter portsentry [el.lign.] på et
relativt tidligt tidspunkt, fremfor til allersidst, vel?


// Klaus

--
><>°

---

"Dennis Skærup Højlund Andersen" wrote:


> Jeg tvivler lidt på at de skal være der, men kan ikke gennemskue hvad
> der går galt?

Er du kommet til at starte en server manuelt som inetd også gerne vil
starte?

--
Thorbjørn Ravn Andersen "...sound of...Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Thorbjørn Ravn Andersen wrote:
>Er du kommet til at starte en server manuelt som inetd også gerne vil
>starte?

*rødmer* Øhh.. ja

Hvorfor tænkte jeg ikke på det!


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

Dennis SHA skrev:

> hvert andet minut kommer der er en besked jeg ikke
> lige kan tyde:

Kan du ikke nå at få øje på processen inden den dør? Prøv at stirre på
top, eller kør en "ps waux", indtil du ser hvad der sker - det er ikke
til at se af det stykke logfil du gav os, hvad der sker (andet end at
det formodentlig er et barn af inetd der dør).


// Klaus

--
><>°

---

Klaus Alexander Seistrup wrote:
>Kan du ikke nå at få øje på processen inden den dør? Prøv at stirre på
>top, eller kør en "ps waux", indtil du ser hvad der sker - det er ikke
>til at se af det stykke logfil du gav os, hvad der sker (andet end at
>det formodentlig er et barn af inetd der dør).

Nu har jeg luret lidt både på ps og top. Men den dør åbenbart med det
samme den kommer i live. Hmm... jeg overvåger lige lidt længere.


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

---

Dennis SHA skrev:

> Hmm... syslogd "vågner" lige før den omtalte meddelse,
> og falder så i "dvale" igen.

Ja, det er den der skriver meddelelserne i /var/log/messages.


// Klaus

--
><>°

---

Klaus Alexander Seistrup wrote:

>Ja, det er den der skriver meddelelserne i /var/log/messages.

Ohh!! Man lærer ny hver dag


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

I wrote:

>Hmm... syslogd "vågner" lige før den omtalte meddelse, og falder så i
>"dvale" igen.

Endnu en observation.

Jeg modtager trafik på port 113 lige før den dør hver gang.
<snip>
Nov 26 20:26:35 geekonline kernel: Packet log: input - eth0 PROTO=6
194.239.148.35:4001 212.242.221.154:113 L=60 S=0x00 I=27988 F=0x4000
T=49 SYN (#14)
Nov 26 20:26:38 geekonline inetd[8730]: pid 8734: exit status 1
</snip>

Det er lige så sikkert som amen i kirken!

--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

Dennis SHA:

> Jeg modtager trafik på port 113 lige før den dør hver gang.

Okay, men det passer også meget godt med det første du skrev, hvor
der stod "auth" et sted. Se:

#v+
$ getserv 113
auth   113/tcp   authentication   tap   ident
$
#v-

Så der er ét eller andet på din maskine som gør noget hvert andet minut,
som kræver/foreslår at der sendes en besked fra identd (har jeg hele
tiden læst "inetd" i stedet for "identd"?). Det er ns.dht.dk, der gerne
vil have at vide hvilken bruger der anvender hvilken port på din box.

Hvilken forbindelse har du til dht.dk? Hvad prøver din maskine at
foretage sig hvert andet minut?


// Klaus

--
><>°

---

> Hvad prøver din maskine at foretage sig hvert andet minut?

Og hvorfor er der "optaget" på port 113, så identd ikke kan binde
sig dertil?


// Klaus

--
><>°

---

Klaus Alexander Seistrup wrote:

>> Hvad prøver din maskine at foretage sig hvert andet minut?
>Og hvorfor er der "optaget" på port 113, så identd ikke kan binde
>sig dertil?

/me aner det ikke

Endnu en observation: I den log-linje firewall'en spøtter ud står der
SYN i enden af hver eneste fra ns.dht.dk. Det gør der ikke i nogle af
de andre der kommer (i øjeblikket er CCs DNSer helt vilde med mig!?).

Jeg er forvirret på et højt niveau lige nu!


--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

I wrote:

>Endnu en observation: I den log-linje firewall'en spøtter ud står der
>SYN i enden af hver eneste fra ns.dht.dk. Det gør der ikke i nogle af
>de andre der kommer

Og så alligevel ikke. Det er der også i måsen af nogle af de andre!?

Sh*t, hvor er jeg rundt på gulvet!

--
dennisandersen.dk

   You know you're a Linux geek when...
      <URL:http://geekonline.dk>

---

Dennis SHA skrev:

> Endnu en observation: I den log-linje firewall'en spøtter ud
> står der SYN i enden af hver eneste fra ns.dht.dk.

Det er fordi ns.dht.dk forsøger at indlede en TCP-request hos dig.

Når identd sættes igang, sker det typisk fordi dem i den anden ende
gerne vil have at vide hvad man er for en fisk. Fx hvis man ftp'er
et sted hen, så kommer der en port 113-forespørgsel inden man får
lov til at hente nogle filer. Eller hvis éns MTA selv bringer post
ud, så vil nogle modtagere lave en auth-request inden man får lov
til at aflevere posten.

Det ser ud til - i hvert fald iflg. de loglinier du sendte os - at
det er en ret regelmæssig hændelse. Kan du ikke prøve at logge de
udadgående pakker gennem din firewall og så se hvad det er for en
hændelse der får identd op af stolen? Jeg er næsten 100% sikker på
at det er noget "udadgående" hos dig der får det hele til at ske.

Alternativt kan du prøve at [installere og] starte iptraf, så du
bedre kan holde øje med trafikken.

> (i øjeblikket er CCs DNSer helt vilde med mig!?).

Er det trafik _fra_ deres port 53 eller _til_ din port 53?

> Jeg er forvirret på et højt niveau lige nu!

Sikkert, men vi er meget nærmere en forklaring nu, end for en time
siden, så lad os bare blive ved.


// Klaus

--
><>°

---

---

Dennis SHA skrev:

> Tror jeg har fundet synderen nu! Det sker hvergang jeg
> tjekker mail!

Nå, men den er jo hjemme så.

Skal du så ikke bare ha' det ordnet så identd rent faktisk kan komme
til at gøre sit arbejde? Alternativt slå identd fra i inetd.conf
(husk at reloade inetd bawetter)?

> Hvis jeg nogensinde møder dig IRL, skylder jeg dig en
> håndfuld bajere!

Jeg drikker ikke alkohol, men cola kan gøre det.

> Tak for hjælpen så langt!

My pleasure!


// Klaus

--
><>°

---

---

---

---

Dennis SHA skrev:

> /etc/rc.d/init.d/inet restart hedder det idag

Okay, på Debian er der forskel på restart (som genstarter dyret) og
reload (som blot sender den et SIGHUP)...

> Nu har jeg prøvet ovenstående og killall -HUP inetd
> uden at det har hjulpet :o/

Du har altså fundet linien med "auth" i /etc/inetd.conf, kommenteret
linien ud og bagefter genstartet inetd? Og identd bliver stadigvæk
startet når du tjekker post?

Sumfins fishy 'ere!

> En # ps aux | grep 'identd' fortæller heller ikke at
> identd kører!?

Nemlig - den bliver jo startet fra inetd. Inetd lytter på port 113
og når nogen laver en forespørgsel dér, fyrer den op under identd,
som smutter igen lisså snart den har lavet det den skal.


// Klaus

--
><>°

---

---

Allan O skrev:

> Er der ikke noget med, at slemme mennesker, der vil ind på
> andre folks maskiner, er helt vilde med identd, fordi den
> fortæller så meget brugbart?

Jo, det er det vistnok, men der er jo mange forskellige identd'er -
nogle sender et tilfældigt svar, andre en krypteret streng - så de
slemme drenge kan alligevel ikke regne med nogetsomhelst.

Der er nogle IRC-netværk man ikke kan komme ind på hvis man ikke
har en identd kørende. Så med mindre man har brug for lige netop
den effekt, ville jeg jeg også slå identd fra.


// Klaus

--
><>°

---

---

klaus@seistrup.dk (Klaus Alexander Seistrup) wrote:

>Nu jeg tænker nærmere over det, er det så ikke fingerd du mener?

Det tror jeg egentlig, du har ret i.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer