AndreasT
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Hallo, ich habe ein Problem, bei dem ich etwas ratlos bin, wie sich das lösen lässt. Folgendes, ich habe NetHogs und Iftop installiert, um zu sehen, dass sich mein Bionic via VirtalBox auch ordentlich benimmt im Firmennetzwerk. NetHogs zeigt mir an, dass /usr/bin/tor eine Verbindung startet und Iftop zeigt, dass die Verbindung nach no-rdns.m247.com hergestellt wird. Budich.org meint, das wäre ein Foren-Spammer, also nix was ich absichtlich installiert hätte. Natürlich kann ich das Ganze via PID killen, aber da muss es doch andere Ansätze geben und mich interessiert natürlich auch, woher das kommen könnte.
Ich habe den Tor-Browser installiert, genau wie zu hause, wo das aber nicht passiert. Kann mir jemand vielleicht ein wenig weiterhelfen? /Andreas 😕
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Ohne die konkreten Ausgaben ist das alles Rätselraten.
NetHogs zeigt mir an, dass /usr/bin/tor eine Verbindung startet und Iftop zeigt, dass die Verbindung nach no-rdns.m247.com hergestellt wird.
Nethogs zeigt den Durchsatz an, den diverse Prozesse produzieren, iftop zeigt prozessunabhängig an, welche Verbindungen bestehen. Was du mit diesen beiden Tools ermittelt hast, ist zunächst mal nur eine Korrelation, kein Kausalzusammenhang. Und ich vermute auch, dass es da keinen Zusammenhang gibt.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Hmmmm, die Verbindung zu no-rdns.m247.com erscheint, wenn tor den Prozess startet und verschwindet, wenn dieser abgeschaltet wird. Lässt sich reproduzieren und die Verbindung erscheint in dem Augenblick, wo tor Datendurchsatz anzeigt und zeitweise ist tor der einzige laufende Prozess und no-rdns.m247.com die einzige Verbindung. Wenn ich nix weiter in System mache also und nur die beiden Terminalfenster beobachte. Etwas mehr als eine Korrelation vermute ich mal. Aber vielen Dank für die schnelle Antwort natürlich.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Machen wir doch mal Nägel mit Köpfen: sudo netstat -tup | grep tor Sobald das beschriebene Szenario auftaucht.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Vielen Dank nochmals für die schnelle Antwort, aber netstat gibt es nicht als Programm, netstat-nat schon, oder übersehe ich was? Was mich darüber hinaus verwirrt, ist dass tor als user "debian.." zu stehen hat? Aber das könnte natürlich debian-tor sein.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Bitte zeige mal die Ausgaben und nicht nur deine Interpretation dessen. Wenn du einfach die genaue Ein- und Ausgabe des genannten Befehls zeigst, ist der nächste Schritt klar. Und wenn du weiterhin die genaue Aus- und Eingabe zu dem Befehl zeigst, der zeigt, dass
tor als user "debian.."
aufgeführt ist, wissen wir auch mehr.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Da steht: andreas@andreas-VirtualBox:~$ tor als user "debian.."
Feb 13 13:24:18.210 [notice] Tor 0.3.2.10 (git-0edaa32732ec8930) running on Linux with Libevent 2.1.8-stable, OpenSSL 1.1.0g, Zlib 1.2.11, Liblzma 5.2.2, and Libzstd 1.3.3.
Feb 13 13:24:18.210 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning
Feb 13 13:24:18.210 [warn] Command-line option 'debian..' with no value. Failing.
Feb 13 13:24:18.210 [err] Reading config failed--see warnings above.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Lies meine Antwort nochmal genau! Du sollst nicht tor als user "debian.." ausführen, sondern den Befehl, der dich zu der Erkenntnis gebracht hat, dass - Zitat -
tor als user "debian.."
ausgeführt wird. Und außerdem sollst du die ganze Ausgabe von sudo netstat -tup | grep tor zeigen.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Also, dass netstat ein Teil von net-tools ist, dazu musste ich mich erstmal schlau machen. Und wie ich tor als user "irgendwer" starte, ist auch nicht etwas, was ich jeden Tag mache, verstehe jetzt aber was du meintest. Und dümmer wird man dabei auch nicht deine Geduld etwas zu strapazieren 😉 andreas@andreas-VirtualBox:~$ sudo netstat -tup | grep tor
tcp 0 0 andreas-VirtualBo:32988 no-rdns.m247.com:https ESTABLISHED 948/tor Noch ein Nachtrag, es gibt keinen Befehl von meiner Seite, der tor gestartet hat, das passiert bei jedem Neustart von selbst. Und noch einer, dass da nix im System-monitor auftaucht, hatte ich jetzt nicht geschrieben. Mir kam aber noch die Idee, es mal zu versuchen, was die PID so an Info rausgibt: andreas@andreas-VirtualBox:~$ ps -fp 946
UID PID PPID C STIME TTY TIME CMD
debian-+ 946 1 0 14:20 ? 00:00:01 /usr/bin/tor --defaults-torrc /u
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Du, kein Problem! Machen wir weiter. Deine These ist insofern bestätigt als dass der Prozess tatsächlich diese Verbindung aufbaut. Nun wissen wir: Tor läuft, unabhängig vom Tor-Browser. Tor ist ja auch eingentlich nur der Proxy-Server, das Tor-Browser-Bundle liefert lediglich einen angepasste Browser mit und startet Tor beim Browserstart mit. Du kannst prüfen, ob Tor unabhängig davon gestartet wird mit sudo systemctl is-enabled tor und, sofern gewünscht, den Autostart mit sudo systemctl disable tor deaktivieren. Sofern du tor auch direkt stoppen willst, geht das mit sudo systemctl stop tor
Es wird scheinbar/anscheinend eine Verbindung zu dem genannten Server hergestellt. Allerdings > $ dig @8.8.8.8 no-rdns.m247.com
; <<>> DiG 9.13.5 <<>> @8.8.8.8 no-rdns.m247.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37219
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;no-rdns.m247.com. IN A
;; AUTHORITY SECTION:
m247.com. 1799 IN SOA a.ns.ns247.net. hostmaster.m247.com. 2019021107 16384 2048 1048576 3600
;; Query time: 30 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Feb 13 14:33:54 CET 2019
;; MSG SIZE rcvd: 106
> ...kennt der Google-DNS-Server den Hostnamen nicht. Die Frage ist, wie der bei dir aufgelöst wurde. Das kannst du rausfinden mit dig no-rdns.m247.com Der DNS-Name selbst suggeriert ja, dass es dazu keinen Eintrage geben sollte. Das Format kenne ich aber nicht und bei einer Internetsuche hat mich da jetzt auch nichts angesprungen.
Es ist durchaus möglich, wenn nicht wahrscheinlich, dass eben eine falsche Namensauflösung zu dieser Domain führt. Rufe einmal sudo netstat -tupn | grep tor auf, damit wir die IP-Adresse sehen.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
OK, das mache ich, sobald ich wieder am Rechner bin, also morgen früh. Vielen Dank für die Tipps. Ich hatte selbst mal versucht zu finden, was oder wer hinter der Adresse steckt und das hier gefunden: https://db-ip.com/89.249.65.218 und sah jetzt nicht so aus, als ob das was super gefährliches ist. Bin aber gerade angezählt worden, weil die NordVPN Repo auf der schwarzen Liste steht und ich die nicht abgeschaltet hatte und der Rechner natürlich immer wieder versucht hat eine Verbindung dorthin zu bekommen. So ich will am besten nix haben was irgendwie rödelt ohne dass ich das mitbekomme.
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Moin Moin, also es hat das Problem gelöst, den Autostart von tor abzuschalten. Wird auch nicht wieder eingeschaltet, wenn ich den Tor-Browser starte. Wie schon geschrieben ist man hier ziemlich strikt darin was man darf und nicht und es so eine Verbindung nach einer unbekannten Adresse führt schnell mal dazu, dass man das gesamte System platt macht und neu aufsetzt. Was hier ja nicht helfen würde, aber letzten Endes dazu führen kann, dass VirtualBox nicht mehr erlaubt wird. Dann ist der letzte Rest Privatsphäre weg. Setze das mal auf gelöst, halte aber ein Auge drauf. Vielen Dank für deine Geduld und Hilfe 😀 . /Andreas
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Moin, und danke für die Rückmeldung.
also es hat das Problem gelöst, den Autostart von tor abzuschalten.
Das war ja zu erwarten, weil Tor die Verbindung aufgebaut hat.
Wird auch nicht wieder eingeschaltet, wenn ich den Tor-Browser starte.
Der Dienst nicht, aber Tor muss ja laufen. Kann sein, dass der sich einen anderen Entry-Node sucht. Kann aber auch sein, dass der Systemservice sich einen neuen Entry-Node gesucht hätte.
Was hier ja nicht helfen würde, aber letzten Endes dazu führen kann, dass VirtualBox nicht mehr erlaubt wird.
Der Umstand, dass VirtualBox verwendet wird hat ja nix mit der Zieladresse zu tun. Es wäre wirklich interessant, einmal die IP-Adresse zu erfahren. Denn öffentlich ist dieser Server nicht zu finden. Netstat muss den Namen also rückwärts anhand der IP auflösen und bekommt die genannte Domain als Antwort. Die Fragen sind: Von wem kommt die Antwort und wie ist die IP-Adresse?
|
AndreasT
(Themenstarter)
Anmeldungsdatum: 10. September 2005
Beiträge: 488
Wohnort: Danmark
|
Das mit VirtualBox hat insofern was damit zu tun, dass sie ja den Verkehr meiner IP hier scannen und wenn das Plattmachen nicht hilft, muss das Problem ja woanders liegen und das liegt ja im virtuellen Ubuntu. Verstehe die IT-Leute auch gut, besonders nachdem Mærsk so böse untergegangen ist 😕 . Ich kann das Problem reproduzieren, indem ich den Autostart wieder einschalte. Mir ist noch aufgefallen, dass noch eine zweite Verbindung aufgebaut wird nach fastlane.apk.li . Die IP-Adressen sind wie folgt: andreas@andreas-VirtualBox:~$ sudo netstat -tupn | grep tor
[sudo] password for andreas:
tcp 0 0 10.0.2.15:58668 89.249.65.153:443 ESTABLISHED 954/tor
tcp 0 0 10.0.2.15:42960 178.63.25.10:9001 ESTABLISHED 954/tor
|