• [gelöscht]

  • Beitrag Nr. 1
Hallo,

ich hab immer wieder das Problem, dass meine Internetverbindung überlastet ist, Um das zu analysieren hab ich mir nethogs installiert, welches z.B. folgendes ausspuckte:

PID USER PROGRAM DEV SENT RECEIVED
? root xxx.xxx.xxx.xxx:39434-172.227.93.187:443 654.402 727.113 KB/sec
? root xxx.xxx.xxx.xxx:39432-172.227.93.187:443 654.212 726.902 KB/sec
? root xxx.xxx.xxx.xxx:38784-31.13.93.52:443 654.149 726.832 KB/sec

In diesem Fall waren es drei IP die den traffic verursachten. Meistens ist es nur eine ,die wie die letzte IP zu einem Facebookserver gehört. Ich selbst habe keinen Facebookaccount und nutze es auch nicht.
Auf meinem System läuft Antergos mit xfce.
Sollte ich mir sorgen machen das ich eine Art Trojaner auf meinen System habe oder gibt es dafür noch eine andere Erklärung? Kann ich irgendwie herrausfinden, was genau da gesendet wird und von welchen Programm aus?
Irgend nen Cloudspeicher o,Ä. gemountet?
Port 443 - das sieht nach einer https Verbindung aus. Beende mal den Browser, ob es dann immer noch passiert. Evtl. hast Du dort ein "tolles" plugin installiert.

  • [gelöscht]

  • Beitrag Nr. 4
Danke für eure schnellen Antworten!

Das Problem tritt auch auf, wenn kein Browser geöffnet ist. Ich habe den Syncclient von Megasync und thunar-megasync aus den AUR installiert, Habe mich aber noch nicht dort eingeloggt.
Du kannst möglicherweise auf dem router logs einsehen. Das geht zumindest meist für die gängigen Protokolle. Dort siehst Du möglicherweise, wohin die Anfragen gehen. Das kann eine wertvolle Hilfe sein (auch übrigens für Mobiltelefone). Du müsstest dazu mal das Web-Interface Deines routers aufsuchen und schauen, ob der was loggt.

  • [gelöscht]

  • Beitrag Nr. 6
T.M. schriebDu
kannst möglicherweise auf dem router logs einsehen. Das geht zumindest
meist für die gängigen Protokolle. Dort siehst Du möglicherweise, wohin
die Anfragen gehen. Das kann eine wertvolle Hilfe sein (auch übrigens
für Mobiltelefone). Du müsstest dazu mal das Web-Interface Deines
routers aufsuchen und schauen, ob der was loggt.
Leider geht das nicht da der Rechner an der Uni steht. Aber mehr als die IPs die ich oben gepostet hab würde ich da ja auch nicht rausbekommen oder?

Mir eher wäre wichtig zu erfahren wer (also welches Programm) und was für daten da hin und her schicht. Da mehr bei mir ankommt als von mir geschickt wird, vermute/hoffe ich mal das es aufgrund eines Fehlers zu solch großen Datenverkehr kommt.
Megasync verbindet AFAIK auf Port 443, wer weiß, das dein Thunarplugin schon so alles macht...
Megasync - die warten dann scheinbar schon ganz gierig auf Deine Daten. 🙁
Vielleicht holen sie sich nach Anmeldung gleich bisserl mehr als gewollt.
Karl Birkskov schrieb
T.M. schriebDu kannst möglicherweise auf dem router logs einsehen. Das geht zumindest meist für die gängigen Protokolle. Dort siehst Du möglicherweise, wohin die Anfragen gehen. Das kann eine wertvolle Hilfe sein (auch übrigens für Mobiltelefone). Du müsstest dazu mal das Web-Interface Deines routers aufsuchen und schauen, ob der was loggt.
Leider geht das nicht da der Rechner an der Uni steht.
Frag den Admin nach solchen logs.
Aber mehr als die IPs die ich oben gepostet hab würde ich da ja auch nicht rausbekommen oder?
Mein router loggt komplette URLs. Wenn's kein HTTP ist, erfährt man immerhin noch IP-Adresse und Port des abgefragten Servers.
T.M. schriebWenn's kein HTTP ist, erfährt man immerhin noch IP-Adresse und Port des abgefragten Servers.
Sieht er doch oben auch, sind Akamei-Server...
blöde frage am rand, macht man so eine analyse nicht mit wireshark?
brikler schriebblöde frage am rand, macht man so eine analyse nicht mit wireshark?
Auch Wireshark wird dir nicht erzählen können, von welchem Programm dieser Traffic kommt. Wenn Nethogs keine PID zu dem Traffic kennt, kommt dieser meißt direkt vom Kernel selber, zB. bei Netzwerkmounts (nfs etc.) werden dann die Read/Writes eines Programms auf solch ein Mountpoint nicht als Netzwerktraffic dieses Programms erkannt....

  • [gelöscht]

  • Beitrag Nr. 13
So ich hab jetzt erst thunar-megasync und anschließend auch megasync deinstalliert, Problem bleibt trotzdem bestehen. Ist vielleicht auch naiv zu glauben, dass, wenn es sich um einen Trojaner o.ä. handeln würde, er sich so leicht entfernen ließe.

Wireshark hat meinen alten laptop übrigens immer fast vollständig lahmgelegt (beim Auftreten des Problems), weshalb ich auf nethogs ausgewichen bin.

ich werd bei gelegentheit mal das System neu aufsetzten und hoffen, dass das Problem nicht mehr auftritt.

P.s. denkt ihr wirklich, dass es an Megasync liegt. Nutze es auch daheim (Antergos mit KDE) und hab dort eigentlich keine Probleme.
Karl Birkskov schrieb P.s. denkt ihr wirklich, dass es an Megasync liegt.
War nur eine Vermutung, da wir nicht wissen was du sonst noch alles installiert hast....

Ist in der Prozessliste (ps aux) irgend etwas auffälliges?

  • [gelöscht]

  • Beitrag Nr. 15
Ein recht simpler und "kostenloser" Test wäre:

Lege einen neuen Benutzer an und teste, ob unter dessen Profil dieser Datentransfer auch stattfindet. Es muß natürlich in einer Situation sein, wo du dir sicher sein kannst, daß der ominöse Transfer mit dem alten Profil stattfindet - und mit dem neuen User dann eben verifiziert *nicht*.

Das kann die Ursache dann schon mal auf Dinge im $HOME deines ursprünglichen Profiles eingrenzen, wie:
* Plugins o.ä. vom Windowmanager, Programmen
* Userverhalten

Das neue Profil würde ich möglichst ursprünglich halten (mit dem gleichen Windowmanager, also xfce). Also nicht sofort wieder alles so "einrichten, nutzen" wie es im momentanen Profil passiert. Sondern ggf. erst nach und nach, um evtl. über dieses "nach und nach" zum Problemverursacher zu finden.

Wenn es gesichert *nur* im alten Profil auftritt, kannst du dir zumindest sicher sein daß nicht das ganze System bzw. jeder User betroffen ist - was ja auch für die weitere Problembehandlung gut zu wissen ist (Bsp.: Löschen des User-Accounts vs. Neuaufsetzen des Systems).

  • [gelöscht]

  • Beitrag Nr. 16
Eben ist das Problem wieder aufgetreten, allerdings zeigte Nethogs an das icecat (gnu version von firefox, die ich extra installiert hatte um Firefox als Ursache auszuschließen) die Ursache des hohen Datenaufkommens wäre. Also hab ich dieses geschlossen, was aber nix am Traffic änderte und nethogs zeigte weiterhin icecat als Ursprung des Problems an. Icecat wurde auch nicht mehr von ps aux angezeigt. Ein Versuch den Prozess über von nethogs ausgespuckte PID zu killen schlug mit der Meldung "kein passender Prozess gefunden" fehl. Am Ende hab ich dann das Netzwerkkabel gezogen, um den Datenverkehr zu beenden.
Ich habe dann doch nochmal Wireshark angeschmissen, welches mir innerhalb kürzester Zeit eine über 600mb große Logdatei anlegte und das System dabei zum erliegen brachte. Der Traffic ging wieder zu einem Facebookserver, mehr hab ich auf die schnelle noch nicht entdecken können. Hat jemand noch einen Tip, wonach ich im Wireshark-Log noch suchen sollte?
Karl Birkskov schriebEben ist das Problem wieder aufgetreten, allerdings zeigte Nethogs an das icecat (gnu version von firefox, die ich extra installiert hatte um Firefox als Ursache auszuschließen) die Ursache des hohen Datenaufkommens wäre.
nutzen beide den selben profil ordner, also ~/.mozilla? vielleicht reichts, wenn du da tabula rasa machst und mit einem sauberen ordner neu beginnst?

edit
möglicherweise reichts schon, wenn du den browser cache leerst.

  • [gelöscht]

  • Beitrag Nr. 18
brikler schrieb nutzen beide den selben profil ordner, also ~/.mozilla? vielleicht reichts, wenn du da tabula rasa machst und mit einem sauberen ordner neu beginnst?
.
ja tun sie, Ich hab den Ordner mal gelöscht, Problem bleibt aber bestehen.

Ich hab mir nochmal den wireshark log angeschaut, Anscheinend sendet mein Rechner TCP reset an den Facebookserver und der sendet BAD TCP als Antwort und das mehrere tausend mal pro Sekunde. Ich verstehe davon zwar nur wenig bis gar nix. Mir scheint es sich aber wohl doch um einen Bug zu handeln oder ist das Teil eines Angriffs? (https://en.wikipedia.org/wiki/TCP_reset_attack)