• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

merkwürdiges Verhalten von rdesktop

[KB]

Well-Known Member
Themenstarter #1
Hallo,

ich bin heute über ein Verhalten von rdesktop gestolpert, welches mich zum Nachdenken bringt. Wenn man beim Aufruf von rdesktop eine unbekannte Adresse (z.B. durch einen Tippfehler) angibt, öffnet rdesktop selbstständig und ohne Hinweise eine Adresse im Internet. Siehe dazu folgende Auzüge:

Code:
# rdesktop kb
Liefert eine Eingabemaske ala Windows Server 2008 und netstat liefert:

Code:
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address       (state)
tcp4       0      0 192.168.0.102.15689    basicwebsiterevi.rdp   ESTABLISHED
Kann das bitte jemand verifizieren oder habe ich mir evtl. ein Root-Kit eingehandelt?

Vielen Dank,
kb

EDIT:
Code:
# uname -a
FreeBSD 8.2-PRERELEASE FreeBSD 8.2-PRERELEASE #2: Sat Feb 26 08:36:00 CET 2011     brandt@:/usr/obj/usr/src/sys/ATHENE  amd64

# ls /var/db/pkg | grep rdesktop
rdesktop-1.6.0_1/
 
Zuletzt bearbeitet:

[KB]

Well-Known Member
Themenstarter #3
Hallo kira12,

diese Meldung sehe ich auch sofern kein Internetverbindung besteht.

chrootkit zeigt bei mir auch keine Auffälligkeiten. :confused:

Sollte dieses Verhalten evtl. beabsichtigt sein?

Gruß,
kb
 

dettus

Bicycle User
#4
lass doch mal einen tcpdump laufen.
und guck nach zu welcher adresse der was schickt?

und dann guck dir mal den quellcode an. was das sein koennte.
 

ernst

Well-Known Member
#5
netstat -n sollte dir auch die IP anzeigen. Wuerde mal noch nslookup kb probieren, manche Provider lenken unbekannte DNS Abfragen auf eigene Server um. Komisch aber trotzdem dass da dann ein Login Fenster kommt..:)
 

dettus

Bicycle User
#6
Code:
% rdesktop saadfsg
ERROR: saadfsg: unable to resolve host
% rdesktop kb 
ERROR: kb: unable to resolve host
ein
Code:
% grep -r basicwebsitevi /usr/ports/pobj/rdesktop/*
hat mir ebenfalls kein ergebnis geliefert. poste doch nochmal ein log von deinen kompletten befehlen die du eingegeben hast.
 

[KB]

Well-Known Member
Themenstarter #7
Hallo ernst und dettus,

vielen Dank für Eure Hilfe. Ich habe mal einen Screenshot angelegt in dem die Konsolen-Session und die rdesktop-Ausgabe zu sehen ist. Laut "netstat -n" verbindet sich rdesktop mit der IP 69.64.65.56 obwohl ein nslookup auf 'kb' wie erwartet vorher fehlschlug. :confused:



Vielen Dank,
kb

Nachtrag:
Ein whois auf obengenannte Adresse liefert mir ein Nichtssagendes:

Code:
brandt@ATHENE : ~ > whois 69.64.65.56
#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 69.64.65.56"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=69.64.65.56?showDetails=true&showARIN=false
#

NetRange:       69.64.64.0 - 69.64.95.255
CIDR:           69.64.64.0/19
OriginAS:       AS10316
NetName:        CODERO2006A
NetHandle:      NET-69-64-64-0-1
Parent:         NET-69-0-0-0-0
NetType:        Direct Allocation
RegDate:        2006-08-04
Updated:        2009-07-31
Ref:            http://whois.arin.net/rest/net/NET-69-64-64-0-1

OrgName:        Codero
OrgId:          APHIN
Address:        7500 W 110th St., Suite 400
City:           Overland Park
StateProv:      KS
PostalCode:     66210
Country:        US
RegDate:        2009-07-21
Updated:        2009-07-21
Ref:            http://whois.arin.net/rest/org/APHIN

OrgAbuseHandle: APHAB-ARIN
OrgAbuseName:   APH Abuse
OrgAbusePhone:  +1-877-275-8763
OrgAbuseEmail:  abuse@codero.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/APHAB-ARIN

OrgTechHandle: ADA108-ARIN
OrgTechName:   APH DNS Administrator
OrgTechPhone:  +1-877-275-8763
OrgTechEmail:  dns@codero.com
OrgTechRef:    http://whois.arin.net/rest/poc/ADA108-ARIN
[\CODE]
 
Zuletzt bearbeitet:

[KB]

Well-Known Member
Themenstarter #8
Ich habe jetzt einmal den DNS-Server gewechselt um auszuschließen, dass Kabel Deutschland hier eine unerwünschte Weiterleitung vornimmt.
Aber auch ein Wechsel auf einen OpenDNS-Server änderte nichts am Verhalten von rdesktop.

Jedoch ergab ein 'nslookup kb' nun:
Code:
brandt@ATHENE : ~ > nslookup kb
Server:         208.67.220.220
Address:        208.67.220.220#53

Non-authoritative answer:
Name:   kb.local.net
Address: 69.64.65.56
Es wird immer misteriöser. :confused:
Seit wann tauchen lokale Netze in öffentlichen DNS-Servern auf?
Oder verstehe ich hier etwas falsch?
Es wird natürlich so sein, dass nslookup (oder wer auch immer) aus der Domain meines Rechners und der nslookup-Anfrage für kb das kb.local.net zusammengebaut hat. Aber wie kommt OpenDNS dann auf diese IP?

EDIT:
Habe nun weitere DNS-Server geprüft. Alle liefern nun das gleiche Ergebnis für die 'kb'-Abfrage.
Nun könnte man meinen 'kb.local.net' ist somit eine gültige Adresse.
Jedoch wieder weit gefehlt, weil auch eine Anfrage wie z.B. 'rwxp' liefert die gleiche IP.

Was ist hier los????
 
Zuletzt bearbeitet:

ernst

Well-Known Member
#9
Mmh zeig mal deine /etc/resolv.conf . Koennte sein, dass kb nicht gefunden wird und da dann eine Domain hintendran gehaengt wird (zB mit dem 'domain' keyword), in dem Fall local.net, und falls die Domain zufaellig in einem DNS Server steht...
 

[KB]

Well-Known Member
Themenstarter #10
Hallo ernst,

hier meine /etc/resolv.conf:
Code:
#domain local.net

# Kabel Deutschland (ohne Landing Pages)
nameserver      83.169.184.162
nameserver      83.169.184.226

# OPENDNS
nameserver      208.67.220.220
nameserver     208.67.222.222

# OPENNIC DNS
nameserver      58.6.115.42
nameserver      119.31.230.42

# Kabel Deutschland DNS
nameserver      83.169.184.33
nameserver      83.169.184.34
nameserver      83.169.184.97

# FALL BACK
nameserver      192.168.0.1
Wie ich bereits herausgefunden hatte, führte der Eintrag 'domain local.net' dazu, dass 'kb.local.net' entstanden ist. Jedoch ist dies keine gültige Adresse innerhalb des DNS. Siehe dazu die Änderungen in meinen letzten Beitrag. Denn 'nslookup rwxp' lieferte 'rwxp.local.net' mit der gleichen IP.
Der Eintrag 'domain local.net' ist nun aus der resolv.conf entfernt worden.
Das Verhalten ist jedoch noch immer das gleiche.

Gruß,
kb
 

Abakus

Well-Known Member
#11
Ich wollte mal kurz was fragen.

Benutzt du local.net als domain? weil das könnte probleme machen. Wenn local.net deine domain ist und der das dann standard mässig erweitert kommst du natürlich einen rechner aus http://local.net und nicht deine eignen rechner. probier mal sowas wie .local oder local.lan. Das könnte den fehler beseitigen.

Grüße,
Abakus
 

[KB]

Well-Known Member
Themenstarter #12
Hallo Abakus,

ja ich hatte in meiner rc.conf den Hostnamen meines Rechners mit der Domain local.net angegeben. Ich habe die Domain jetzt auf local geändert und das Problem scheint behoben.

Vielen Dank an alle, :D
kb
 

oenone

Well-Known Member
#13
net als TLD ist böse...

aber auch local sollte man nicht als TLD nehmen, da das evtl für multicast dns verwendet werden wird (und von Macs und Fedora/SuSE schon verwendet wird und dort probleme bereitet).