• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Unbekannte DNS Anfragen seit KDE 4.4 update

G

gorgonz

openSUSE 11.1 aktuell mit KDE4.4 rc1

Hi zusammen,

weiss auch nicht, wann genau ich mir das eingehandelt habe, aber seit ein paar Tagen fällt mir auf, dass mein Netzwerk ständig aktiv ist, obwohl ich keine Programme in diesem Sinne gestartet habe (kein Firefox/Thunderbird, lediglich ein Netzwerk-Auslastungs-Plasmoid). Mache allerdings täglich Updates von den KDE Repositories KDE4 Factory+Playground.

Mit Wireshark sehe ich ständigen DNS traffic zwischen meinem PC und dem Router. Es werden im Prinzip ständig die gleichen domain names abgefragt:
http://www.quality.channel.de
http://www.southwest.com
video.google.de

Klar bin ich beunruhigt. Kann irgend jemand was dazu sagen?

[Update] Falls jemand weiss, wie ich den auftraggebenden Process feststellen kann, wäre ich auch für diesen Tipp dankbar :)
 
OP
G

gorgonz

so genau weiss ich nicht, was du da meinst. Ich habs jetzt mal bei kde.org geposted und werde berichten, wenn dort eine Antwort kommt ...
 
L

lOtz1009

Moderator
Teammitglied
Was ich grundsätzlich meine ist, dass KDE 4.4 halt noch nicht offiziell als 'stabil' veröffentlicht ist, und wir hier eigentlich keinen Beta-Support leisten.v

Du könntest mit netstat -pc | grep tcp z.B. mal schauen welche Prozesse da kommunizieren.
 
OP
G

gorgonz

hab den netstat Versuch gemacht, da kommen aber nur so dbus tasks und andere system prozesse.

Dadurch, dass ich nicht weiss, wie ich den Prozess feststellen kann, krieg ich nicht gebacken, wo ich im Internet nach einer Lösung suchen soll. Hatte jetzt auch den Firefox selbst wieder im Verdacht, weil außer den genannten domains auch solche gesucht wurden, die semantisch in der Nähe von Begriffen sind, die ich vorher mit dem FF gesucht hatte (so zb linux-club), aber der ff war doch schon (lange genug) beendet.

Hab jetzt auch mal den nepomuk dienst komplett deaktiviert, hat aber auch nix gebracht. Kurz, ich bin mir nicht mehr sicher, ob es überhaupt ein KDE Problem ist.

<seufz>
 
framp

framp

Moderator
Teammitglied
gorgonz schrieb:
hab den netstat Versuch gemacht, da kommen aber nur so dbus tasks und andere system prozesse.
Zum Vergrößern anklicken....
Warum postest Du nicht mal das Resultat von dem von IOtz1009 vorgeschlagenen Befehl? Dir mag es nichts sagen ... aber vielleicht uns :roll:
 
OP
G

gorgonz

mach ich normalerweise nicht so, aber in meiner Nervosität habe ich auch noch beim Firefox Forum gepostet, weil ich erstmal irgendwas zum Eingrenzen gebraucht habe. Da hab ich einen ganz einfachen aber genialen Tipp gekommen, auf den ich auch hätte selber kommen können : Booten & Schauen ;-)

Hier die Ergebnisse:

- Direkt nach dem Booten sind noch keine Einträge da
- Wenn ich FF starte und wieder beende ist auch alles ok
- Analog beim Thunderbird (nur zur Sicherheit)
- Jetzt wieder den FF gestartet und eine Seite aufgerufen

Peng, jetzt passiert es.

Ich beschreibe das mal so: Auf dieser Seite gibt es diverse Links und auch google.analytics Sachen (das war linux-club ;) ). Ab diesem Moment werden die DNS Anfragen regelmäßig durchgeführt - auch wenn ich den FF beende. Ja selbst dann noch, wenn ich den Benutzer auslogge und wieder anmelde. Erst ein richtiger Boot beendet den Spuk. Die Seite selbst ist übrigens egal, es geht nur um Links (oder ähnliche Infos), die darauf vorkommen.

Bei so einer Beschreibung denke ich natürlich erstmal an irgendeinen Indexdienst. Bei den Addons läuft auch einer (Beagle), den ich aber nicht deinstallieren kann. Aber der müsste doch beendet sein, wenn FF beendet ist, oder?

Hoffe, dass ich damit auch etwas für alle beitragen konnte.

KDE hatte ich selbst auch als erstes im Verdacht, aber ich denke, die Jungs sind ab jetzt erst mal draussen.

Was ich da gesehen habe, ist natürlich nur zu sehen, wenn man wirklich ein Sniffer Tool wie den wireshark startet. Es könnten also mehrere von Euch genauso betroffen sein - selbst unter Windows ;)

@lOtz1009: ich hab netstat schon länger laufen lassen, aber irgendwie fängt der keine Kommunikation für das Protokoll DNS. Trotzdem danke für Deine Unterstützung!
 
OP
G

gorgonz

Klar, framp. Mach ich hiermit. Hab jetzt auch Dein "Traktat" mit Schmunzeln durchgelesen und stimme 100% zu. Hab auch in den betroffenen Foren sofort die Antworten gegen geposted, so wie auch hier.

Die beiden anderen Einträge findet ihr unter

KDE-Forum: http://forum.kde.org/viewtopic.php?f=18&t=85044&p=143536#p143536ka
Firefox Forum: http://www.camp-firefox.de/forum/viewtopic.php?f=12&t=78088

Nix für ungut, war die schiere Panik ;)
 
OP
G

gorgonz

sowohl lOtz1009 und framp wie auch im Beitrag vom KDE Forum war nach den Ausgaben von netstat gefragt worden

hab mal das Kommando so abgesetzt, wie es in dem Beitrag vom KDE.org gestanden hat, es aber um um das c-flag von lOtz1009 ;-) ergänzt ("netstat -A inet -pc -e")

Manchmal erwische ich bursts mit verdächtigen requests, etwa so:

Code: 
Aktive Internetverbindungen (ohne Server)                                                                                 
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 192.168.2.100:44791     www2.l.google.:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:44027     bw-in-f138.1e1:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:50653     video.google.d:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:38526     fk-in-f113.1e1:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:40241     blogsearch.goo:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:37232     mu-in-f100.1e1:www-http TIME_WAIT   root       0          -                   
tcp        0      0 192.168.2.100:35701     cs.about.akadn:www-http TIME_WAIT   root       0          -

und dann einzelne Einträge wie

Code: 
Aktive Internetverbindungen (ohne Server)                                                                                 
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
udp        0      0 192.168.2.100:53293     speedport.ip:domain     VERBUNDEN   root       32982      4771/nscd

von nscd hatte ich nie etwas gehört und gegoogelt: Name-Service-Caching Daemon

Das klingt vielversprechend, aber das Killen hat nix gebracht, weil er sofort neu gestartet wird.

Was dadurch trotzdem anders wurde ist eine neue Art von Eintrag - manchmal

Code: 
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name
tcp        0      0 localhost:53008         localhost:sunrpc        TIME_WAIT   root       0          -

aber das bringt wohl nicht weiter. ok, hab als nächstes mal /etc/nscd.conf angesehen:

Code: 
	debug-level		0
#	reload-count		5
	paranoia		no
#	restart-interval	3600

	enable-cache		passwd		yes
	positive-time-to-live	passwd		600
	negative-time-to-live	passwd		20
	suggested-size		passwd		211
	check-files		passwd		yes
	persistent		passwd		yes
	shared			passwd		yes
	max-db-size		passwd		33554432
	auto-propagate		passwd		yes

	enable-cache		group		yes
	positive-time-to-live	group		3600
	negative-time-to-live	group		60
	suggested-size		group		211
	check-files		group		yes
	persistent		group		yes
	shared			group		yes
	max-db-size		group		33554432
	auto-propagate		group		yes

	enable-cache		hosts		yes
	positive-time-to-live	hosts		600
	negative-time-to-live	hosts		0
	suggested-size		hosts		211
	check-files		hosts		yes
	persistent		hosts		no
	shared			hosts		yes
	max-db-size		hosts		33554432

	enable-cache		services	yes
	positive-time-to-live	services	28800
	negative-time-to-live	services	20
	suggested-size		services	211
	check-files		services	yes
	persistent		services	yes
	shared			services	yes
	max-db-size		services	33554432

irgendwo hab ich gelesen, dass enable-cache hosts garnicht günstig ist, aber ich versteh nix davon. Vielleicht könnte man auch die Lifetime erhöhen. Kennt sich da jemand aus?

Für jetzt mach ich Schluss, morgen ähmm heute abend werde ich das host cachen mal deaktivieren und schauen. Jedenfalls glaube ich nicht mehr, dass da Malware am Laufen ist, aber es interessiert mich einfach, wo das herkommt.
 
OP
G

gorgonz

Gute Nachrichten, habe heute mal den nscd host cache deaktiviert und nach dem Neustart ist jetzt tatsächlich Ruhe :)

Der Fall ist abgeschlossen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben