# seltsame Netzwerkaktivitäten (gelöst u.V.)

## alfcyber

Hallo, nach wochenlanger harter Arbeit hab ich es endlich geschaft eine eigene Webseite auf einer umgebauten Android-TV-Box (minix x5)

ins Netz zu bringen. So weit hat auch alles gut geklappt, aber jetzt nach ca 3-4 Tagen im Netz hab ich ohne Zugriffe auf den Webserver

(ich habe lighttpd aufgesetzt) also ohne Zugriff auf die Homepage, immer Netzwerkaktivität.

Gemerkt hab ich das nur an den LEDs am Router u. dann hab ich mal nachgeschaut. Zur veraunschaulichung, iftop liefert folgendes:

192.168.0.15                                        => think                                                2,81Kb  1,89Kb  1,80Kb

                                                    <=                                                       464b    227b    225b

192.168.0.15                                        => static-ip-85-25-27-0.inaddr.ip-pool.com              1,25Kb   896b    946b

                                                    <=                                                      1,62Kb  1,14Kb  1,19Kb

192.168.0.15                                        => static-ip-62-75-130-61.inaddr.ip-pool.com             640b    736b    576b

                                                    <=                                                       832b    957b    749b

wobei think mein Laptop via ssh ist u. das andere weiß ich nicht. Nach einem Reboot baut sich die Verbindung sofort neu auf.

Einzige Abhilfe ist dem Server über den Router den Zugriff ins Netz zu verbieten u. eben eingehende nicht weiterzuleiten.

Bitte um Hilfe. Was kann das sein, wie kann ich dahinter kommen u. oder wie kann ich das verhindern ?

(bin noch relativer Neuling, was Netzwerk, Hosting usw. betrifft). Falls das wichtig ist, die Webseite habe ich mittels Drupal aufgesetzt.

Interessant ist auch, dass wenn man das Port Forwarding im Router einschaltet sich die Verbindung sofort neu aufbaut u. ein abschalten nichts bringt. Erst nach einem Reboot hört es auf. Gerade habe ich festgestellt, dass manchmal auch ein Reboot nichts bringt. Die Verbindung scheint sich aufzubauen obwohl mein Server von und nach aussen vom Router geblockt wird.

----------

## py-ro

Also zwischen den Zeilen lese ich heraus, du hasst SSH Forwarded und darauf kommt eine Verbindung.

Spontan würde ich ja mal ins Server Log schauen, vermutlich ist es der übliche SSH Port 22 Bruteforce Müll.

Bye

Py

----------

## alfcyber

Hallo, nein ich habe nur den Port 80 weitergeleitet u. auch nur tcp.

(192.168.0.15 ist der Server), Nachdem ich heute sehr früh am Morgen die Weiterleitung abeschaltet habe waren die Verbindungen heute am späteren Morgen

verschwunden. 

Auf meine Seite hat überhaupt niemand zugegriffen ausser ich selbst u. ein paar "google bots". Was kann das also sein. Ich mein es beeinträchtigt jetzt nicht irgendwie die Funktion oder so aber es nervt, zumindest nicht zu wissen was das ist. Vielleicht ist es ja normal ?

ich weiß jetzt nicht was du mit brute force genau meinst, hab zwar schonmal was davon gelesen aber verstehen tue ich das nicht wirklich. Würde sich eine "brute force attack mit dem server verbinden u. nach einem reboot sofort neu aufbauen ?

(Im Übrigen läuft auf meinem Server (wie geschrieben, nach wochenlanger harter Arbeit) Gentoo. Deshalb Poste ich auch hier u. hoffe hier auf Hilfe.)

----------

## Treborius

sieh dir mal die ausgabe von 

"tcpdump"

an, eventuell vorher emergen, vielleicht siehst du sofort was es ist, sonst einfach mal

10 zeilen posten

edit :

eventuell noch den ssh port wegfiltern, in etwa so :

tcpdump -i eth0 not port 22

----------

## alfcyber

Hallo, aktuell sind die o.g. Verbindungen verschwunden, obwohl ich forwarding wieder eingeschaltet habe, dafür ist jetzt eine andere ip am Werk.

tcpdump liefer jetzt (auszugsweise, weil die liste ständig wächst):

00:34:11.484443 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:34:11.484583 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1969108082, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:34:11.484742 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:34:11.970362 IP 192.168.0.1.1900 > 239.255.255.250.1900: UDP, length 342

00:34:11.971935 IP 192.168.0.1.1900 > 239.255.255.250.1900: UDP, length 287

00:34:11.972902 IP 192.168.0.1.1900 > 239.255.255.250.1900: UDP, length 278

00:34:11.973873 IP 192.168.0.1.1900 > 239.255.255.250.1900: UDP, length 352

00:34:12.150355 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1538512731, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:34:12.150559 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:34:12.816609 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1714604071, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:34:12.816847 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:37:00.623987 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:37:01.243005 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1413908822, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:37:01.243247 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:37:01.427037 ARP, Request who-has 192.168.0.11 tell 192.168.0.1, length 46

00:37:01.476985 ARP, Request who-has 192.168.0.13 tell 192.168.0.1, length 46

00:37:01.526944 ARP, Request who-has 192.168.0.15 tell 192.168.0.1, length 46

00:37:01.527098 ARP, Reply 192.168.0.15 is-at 2e:7c:e0:e3:93:00 (oui Unknown), length 28

00:37:01.864998 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1250606945, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:37:01.865211 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:37:02.485562 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 1864384356, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:37:02.485808 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

00:37:03.100332 IP 217.144.68.34.http > 192.168.0.15.http: Flags [S], seq 255746859, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

00:37:03.100572 IP 192.168.0.15.http > 217.144.68.34.http: Flags [.], ack 1, win 14600, length 0

und das obwohl in meiner server log datei nur folgendes ist:

lm" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.22+ (KHTML, like Gecko) Chromium/17.0.963.56 Chrome/17.0.963.56 Safari/535.22+ Epiphany/2.30.6"

::ffff:86.71.61.210 46.XXX.XXX.XXX - [03/Feb/2014:21:48:50 +0100] "GET / HTTP/1.0" 200 21794 "-" "-"

::ffff:192.168.0.11 192.168.0.15 - [04/Feb/2014:00:31:53 +0100] "GET /ir/exec/main.php?moc=mstop HTTP/1.1" 200 5868 "http://192.168.0.15/ir/exec/main.php" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.22+ (KHTML, like Gecko) Chromium/17.0.963.56 Chrome/17.0.963.56 Safari/535.22+ Epiphany/2.30.6"

minix-gentoo ~ # tail -n100 /var/www/localh*/htdo*/logs/access.log

also wieder gleichzeitig keinerlei zugriff auf den webserver

es hat sich also eine ip verbunden ohne das der Webserver dies registriert hätte, sie verbraucht zwar nur minimal Bandbreite doch ist die aktivität die tcdump ausgibt recht rege.

was ist das also, welcher teil meines servers reagiert hier überhaupt (der kernel?) u. welche bytes fließen hier (von der Webseite scheint es nicht zu sein, sonst müßte es doch der lighttpd im log registrieren. Bitte habt Verständnis für meine vielen Frangen, bin eben noch Neuling auf dem Gebiet u. möchte nicht das mein zeitintensiv aufgebauter Server Schaden nimmt. vielen dank an treborius für den Tip tcpdump. Leider kann ich das Ergebnis nicht auswerten.

----------

## alfcyber

hallo, hatte eben mal Zeit mir die man zu tcpdump anzusehen,

so dass ich das gepostete Log so deute:  eine IP versuchte sich mittels http zu verbinden, die Verbindung kam aber nicht zustande deshalb hat der lighttpd nichts geloggt. 

Ein einfacher Test (eine Webseite auf dem Server abgerufen) brachte hervor, dass für die Abfrage einer einzigen Seite, tcpdump einen 

ellenlangen Log ausgibt (also das wahnsinnig viel Aktivität stattfindet)

Nachdem das Problem das mich zum posten veranlasst hatte nichtmehr auftrat, sehe ich mein Problem unter Vorbehalt als gelöst und bedanke mich für die Beiträge.

(Damit auch andere noch etwas von diesem Thread haben, falls jemand Gentoo auf der ARM-Architektur kompilieren will, ein rpi kann ich nicht empfehlen (aus Erfahrung, es geht zwar, dauert aber sehr lange), aber auf einem 2 Kern  (max 1.6 Ghz) Arm Prozessor liegen die Kompilierzeiten im grünen Bereich, d.h. sogar der gcc benötigt nur ca 45min, ein mittelausgeprägter Kernel ca 30 min (arm kernels gibts bei git) u. das Ergebnis ist zufriedenstellend. Meine mittels php erstellte Seite zur Kontrolle von moc u. einer ir-Steuerung läuft angenehm flüssig und doch teils spürbar schneller als auf dem rpi) ; und eine 2 Kern arm cpu benötigt auch vergleichbar wenig Strom (evtl. sogar Batteriebetrieb möglich)

Noch ein Hinweis, nachdem auf dem im 1.Posting genannten Gerät ein Desktop, ich nutzte xfce, rel. flüssig läuft wollte ich den firefox kompilieren (eine fertige Arm Version war im Internet nicht zu finden). Leider brach der Kompiliervorgang (ziemlich kurz vor Schluss) ab mit einem Fehlerhinweis. Es kostete mich Stunden den Fehler zu finden. Falls jemand vor dem gleichen Problem steht es hat folgendes geholfen. Nach Abbruch im File:

/var/tmp/..../firefox.../ work/mozilla-esr24/gfx/ycbcr/moz.build

die Zeile 

-if CONFIG['OS_TEST'] == 'arm' and CONFIG['HAVE_ARM_NEON']:

in

+if CONFIG['HAVE_ARM_NEON']:

umändern, dann weiterkompilieren (dieses Thema wurde irgendwo im Gentoo-Forum schon behandelt, denn daher habe ich mein Wissen)

siehe da, es kompiliert zu ende... das Ergebnis nennt sich aus unerfindlichen Gründen nicht Firefox sondern Aurora

sehr schön, es funktioniert

edit: (ich verstehe übrigens nicht, wie man eine so ausgetüftelte software wie firefox in einem so winzigen Detail fehlerhaft programmiert, so dass ein kompiliervorgang ziemlich einfach scheitert in allen anderen belangen aber voll funktioniert. das muß ich aber auch nicht oder?) wurde jetzt ziemlich offtopic mußte aber sein ...

----------

## Tinitus

Hallo,

O.T.: Dein Projekt klingt sehr interessant. Gibt es ein Howto zum Installieren von Gentoo auf so einer Box? Wie sieht es mit dem Grafiktreiber für Multimediaanwendungen auf so einer Box aus?

----------

## alfcyber

hallo,

ein spezielles how to für gentoo, ist mir keins bekannt, ist auch nicht nötig, es ist normal zum installieren wie in der offiziellen doku beschrieben, evtl.

sollte man halt die Doku für ARM durchlesen.

Im Netz findet man massig Foren über gemoddete Boxen. Ich hab mich für das o.g. Gerät nur entschieden weil es zufällig in einem Elektronikladen vorrätig und preislich reduziert war.

Wirklich problematisch ist nur die passenden Kernel - Sourcen zu finden so dass man möglichst viel aus der Box (ethernet, wlan ect) herausholen kann und eben herauszufinden wie man es auf die Box bringt. Für das minix x5 gibts im inoffiziellen minix forum einen ausführlichen thread. die minix macher haben mittlerweile sogar die gesamte minix sdk ins netz gestellt für einen wettbewerb. (muß aber sagen, dass der offizielle minix source auf android ausgelegt ist u. daher mit linux ohne android nicht so recht wollte) liegt wohl vermutlichen an ein paar (grafik?)treiber. Das minix hat einen rockchip (das x5 einen rk3066, ist aber bereits überholt mit x7 -> rk3188 (quadcore)). für meine zwecke u. auch zum kompilieren reicht mir ein zweikern (rk3066) völlig aus. Im git findet man massig Tools u. auch Kernel Sourcen für Rockchip um die Software aufzuspielen ect.

mir hat der folgende thread sehr geholfen er ist zwar auf dax x5 ausgelegt (u. ich hab das x5 mini) hat aber mit minimalen konfigurationsänderungen u. minimaler source änderung auf dem x5 mini funktioniert (mit internem speicher) das mini hat im wesentlichen einen anderen chip für die stromversogung verbaut u. ein etwas anderes ethernet.

(ich hoffe hier darf man auf ein anders forum verlinken, falls nicht einfach löschen)

http://minixforums.com/threads/linux-on-minix-x5.1388/

der dort verlinkte kernel hat den grafikbeschleuniger integriert

edit: um es für den interessierten zu vereinfachen: für den ganzen Zauber den Kernel od bzw die Software auf das Gerät zu bringen benötigt man für das genannte Gerät genau 2 Tools -> a) rkflash-tool (git)(zum flashen), b) mkbootimg (git)(um ein flashbares rom zu erzeugen) (c)) entweder einen fertigen Kernel (sog. picuntu-kernel läuft prima oder passende sourcen (auch git) od s. link zum thread oben

(zusätzlich viel Geduld; es hilft eine Arm-Toolchain zu erstellen, bis man auf dem Gerät selbst kompilieren kann), den Kernel muß man vorsichtig Konfigurieren sonst kompiliert er nicht (viele Warnhinweise kann man ignorieren)

es ist einfacher das Betriebssystem anfangs über einen externen Speicher über USB zu starten, später wenn alles läuft, kann man es auf das nand flashen bzw. mit den richtigen Treiber einfach wie auf einer normalen platte aufspielen

(es wird unbedingt eine initrd (bzw. initfs) benötigt zumal für den rockchip nand-teiber leider keine sourcen zu finden sind(bezogen auf das o.g. Gerät) so dass man auf dem im Netz erhältlichen vorkompilierten Treiber eingeschränkt ist (spassverderber) denn das führt daszu dass man einen "low-latency"-kernel kompilieren muß sonst integriert sich der Treiber nichtmehr;  Es war mir nicht möglich eine initrd mittels mkbootimg einzubauen, eine mit dracut erstellte, direkt in den kernel kompilierte, hat dann funktioniert) (flashveruche sind m.e. relativ ungefährlich, der Rockchip hat wohl vermutlich eine 1."boot sequenz" fest eingebaut, so dass man ihn vermutlich nicht wirklich unbootbar "verflashen" kann)

edit die 2.: rkflash ist im portage tree   :Very Happy: 

On T.: ich habe soeben die Vorzüge von 'iptables' erkannt

O. T.: besteht denn größeres Interessen an Linux (o.bzw. gentoo auf minix x5 mini?)

----------

