Natürlich ... siehe hier ... https://documentation.suse.com…S-all/cha-journalctl.html
Danke für den Link! Das sieht nach viel Lesearbeit aus. Das Wochenende kommt da gerade recht 
Wir melden uns wieder!
Hartmut und Erika
Mein Leap15.3 verliert den Internetzugang und hängt sich beim Runterfahren auf.
- Erika
- Erledigt
-
Moment mal ... ich habe gerade gelesen, das ihr eine Easybox von Vodafon nutzt. Ist das richtig? Die 602 ist schon sehr alt. Die gab es schon 2009. Und ihr seid sicher, das es am Linux liegt? Es gibt im Netz über 5000 Funde unter vodafone easybox 602 verbindungsabbrüche. Ich krieg da gerade ein komisches Gefühl.
-
Moment mal ... ich habe gerade gelesen, das ihr eine Easybox von Vodafon nutzt. Ist das richtig? Die 602 ist schon sehr alt. Die gab es schon 2009. Und ihr seid sicher, das es am Linux liegt? Es gibt im Netz über 5000 Funde unter vodafone easybox 602 verbindungsabbrüche. Ich krieg da gerade ein komisches Gefühl.
Ich war gerade dabei Dir darauf zu antworten, da wurde die Verbindung wieder unterbrochen (genau um 18:50) und ich konnte die fertige Antwort leider nicht abschicken. (Ich schreibe dies von meinem anderen Laptop! Der IdeaPad Laptop mit dem Leap 15.3 braucht jetzt 20 Minuten, bis er nach dem
Codeshutdown -h nowshutdown -h nowschliesslich unten ist.
Danke für Deine Erleuchtung
Das mit der Easybox 602 könnte hinkommen! Ich poste einmal das tagesaktuelle Log daraus, vielleicht wirst Du schlau daraus ( ich kann leider nichts Besonderes erkennen):Code
Alles anzeigen01/28/2022 19:22:16 192.168.2.102 login success 01/28/2022 18:37:24 192.168.2.106 login success 01/28/2022 18:32:44 sending ACK to 192.168.2.103 01/28/2022 18:32:28 sending ACK to 192.168.2.103 01/28/2022 18:32:13 sending ACK to 192.168.2.103 01/28/2022 18:31:59 sending ACK to 192.168.2.103 01/28/2022 18:31:46 sending ACK to 192.168.2.103 01/28/2022 18:31:44 sending ACK to 192.168.2.103 01/28/2022 18:31:28 sending ACK to 192.168.2.103 01/28/2022 18:31:12 sending ACK to 192.168.2.103 01/28/2022 18:30:49 sending ACK to 192.168.2.103 01/28/2022 17:45:32 sending ACK to 192.168.2.103 01/28/2022 16:57:22 Wireless E8:50:8B:33:B5:18 released 01/28/2022 16:35:39 sending ACK to 192.168.2.106 01/28/2022 15:03:27 NTP Date/Time updated. 01/28/2022 15:02:39 Get system time from NTP server:178.63.9.212. 01/28/2022 14:53:56 sending ACK to 192.168.2.106 01/28/2022 14:37:18 sending ACK to 192.168.2.106 01/28/2022 13:40:33 sending ACK to 192.168.2.103 01/28/2022 13:30:34 **TCP Xmas Scan** 49.232.168.38, 10206->> 88.69.209.122, 40663 (from PPPoE1 Inbound) 01/28/2022 12:16:14 Wireless E8:50:8B:33:B5:18 released 01/28/2022 11:57:43 sending ACK to 192.168.2.102 01/28/2022 11:05:30 sending ACK to 192.168.2.106 01/28/2022 10:45:35 sending ACK to 192.168.2.103 01/28/2022 10:40:54 Wireless E8:50:8B:33:B5:18 released 01/28/2022 04:47:00 **UDP Loop** 198.98.60.152, 37722->> 88.69.209.122, 19 (from PPPoE1 Inbound) 01/28/2022 04:41:19 **TCP Xmas Scan** 49.232.158.14, 278->> 88.69.209.122, 36765 (from PPPoE1 Inbound) 01/28/2022 03:02:39 NTP Date/Time updated. 01/28/2022 03:01:39 Get system time from NTP server:144.91.116.85. 01/28/2022 02:08:06 **UDP Loop** 74.82.47.2, 50080->> 88.69.209.122, 19 (from PPPoE1 Inbound) 01/28/2022 01:45:33 **TCP-SYN with data** 77.83.242.203, 32475->> 88.69.209.122, 80 (from PPPoE1 Inbound) 01/28/2022 01:45:24 **TCP-SYN with data** 77.83.242.203, 13463->> 88.69.209.122, 80 (from PPPoE1 Inbound) 01/28/2022 01:36:48 **TCP-SYN with data** 77.83.242.203, 28865->> 88.69.209.122, 80 (from PPPoE1 Inbound) 01/28/2022 01:36:47 **UDP Loop** 146.88.240.4, 43980->> 88.69.209.122, 19 (from PPPoE1 Inbound) 01/28/2022 01:36:46 **TCP-SYN with data** 77.83.242.203, 18707->> 88.69.209.122, 80 (from PPPoE1 Inbound) 01/28/2022 01:23:19 **TCP-SYN with data** 77.83.242.203, 23177->> 88.69.209.122, 80 (from PPPoE1 Inbound) 01/28/2022 01:23:11 **TCP-SYN with data** 77.83.242.203, 5407->> 88.69.209.122, 80 (from PPPoE1 Inbound)Der Laptop ist übrigens über LAN angeschlossen. Das WLAN ist für ein Handy im Haushalt in Betrieb.
Jetzt, nachdem es wieder geschehen ist, sprich das Internet weg war, müsste das doch im Log des Easybox zu sehen sein, oder?
Hartmut
-
Hallo Erika , hallo Hartmut,
mich beschäftigen Eure Fotos aus Post #11
Ich sehe dort beim Herunterfahren zwei Fehlermeldungen: Failed unmontig /home und Failed unmontig /var.
Diese Fehler sind nicht normal und beruhen meistens an Hintergrund Prozessen, deswegen möchte ich bitten um folgende Konsole Ausgaben:
Nach einem Neustart als normaler user ausführen und in dem Benutzerkonto das die Probleme verursacht.
Codejournalctl -p err -bCodeps auxDie einfachste Lösung wäre aber hier, so wie Ihr geschrieben habt, einen neuen Benutzer anlegen und dann langsam die eigenen Dateien übertragen.
Grüße, Heinz-Peter
-
Zuerst einmal haben mich deine UDP-Loop stutzig gemacht. Anfangs dachte ich an einen Hacker-Angriff, jedoch führte eine genauere Prüfung der mitgespeicherten IP zur Adresse von Hurricane Electric. Hurricane Electric ist ein globaler Backbone-Betreiber mit speziellem Fokus auf IPv6. Also Entwarnung. Interessanter sind da schon die oberen Zeilen. Ich weiß ja nicht, was Vodafone so alles treibt, aber wer oder was ist **TCP Xmas Scan**, und die dahinterliegende IP gehört zu Shenzhen Tencent Computer Systems Company Limited in China. Hast du mit denen was zu tun? Unmittelbar danach geht es los mit "sending ACK to 192.168.2.103". Das sind eigentlich Empfangs- / Verbindungsbestätigungen. Und die laufen eine ganze Weile ... sieht man ja an der Zeit. Fast eine Stunde. Mir kommt die Sache komisch vor. Ich will jetzt nicht sagen, das jemand euer System gehackt hat, aber man muss die Möglichkeit in Betracht ziehen. Zusätzlich ... empfehle ich dir, wenn du in Zukunft aus deiner EasyBox zitierst, dann deine WAN-IP unkenntlich zu machen, sonst können Hacker besoders einfach deine EasyBox angreifen. Die WAN-IP deiner EasyBox ist die vor 'from PPPoE1 Inbound'. Da du diese jetzt in die Welt posaunt hast ist es sicherer, wenn du deine EasyBox neu startest (siehe eventuell Handbuch), denn dann bekommt die EasyBox eine neue WAN-IP und die Hacker müssen die WAN-IP erst wieder finden. Ich würde den Rechner vom Netz nehmen und neu aufsetzen ... ganz neu, mit Platten neu partitionieren und dann alles sauber aufsetzen. Neu formatieren reicht nicht aus. Das ist das, was ich machen würde. Die Entscheidung darüber liegt bei euch. kann auch sein, das ich daneben liege. Wenn jemand mehr darüber weiß, soll er sich gern dazu äußern. Aber ein Neustart der Box ist im Moment wegen der Wan-IP unabdingbar.
-
Alles anzeigen
Hallo Erika , hallo Hartmut,
mich beschäftigen Eure Fotos aus Post #11
Ich sehe dort beim Herunterfahren zwei Fehlermeldungen: Failed unmontig /home und Failed unmontig /var.
Diese Fehler sind nicht normal und beruhen meistens an Hintergrund Prozessen, deswegen möchte ich bitten um folgende Konsole Ausgaben:
Nach einem Neustart als normaler user ausführen und in dem Benutzerkonto das die Probleme verursacht.
Codejournalctl -p err -bLieber Heinz Peter,
Unser Laptop hat wieder fest gesessen, darum erst jetzt die Antwort!
Inzwischen ist das Übel auch beim Hauptuser eingetroffen. Eben lief das Laptop nur 1 STd. ohne Fehler im Internet. Die KDE-Plasma Oberfläche friert dann auch ein. Wenn ich dann auf der Text-Konsole "shutdown -h now" eingebe, dauert es 15 Minuten bis er schliesslich bei:
Codecannot finisch file systemsstehen bleibt und ich ihn ausschalten muss!
Hier ist nun , wie gewünscht die Ausgabe vom normalen User:
Codelocalhost:/home/erika # journalctl -p err -b -- Logs begin at Fri 2022-01-28 20:34:32 CET, end at Fri 2022-01-28 20:40:21 CET. -- Jan 28 20:34:32 localhost kernel: pci 0000:00:00.2: AMD-Vi: Unable to read/write to IOMMU perf counter. Jan 28 20:34:32 localhost kernel: integrity: Problem loading X.509 certificate -65 Jan 28 20:34:42 localhost smartd[863]: Device: /dev/nvme0, number of Error Log entries increased from 1136 to 1138 Jan 28 20:34:54 localhost dhclient[1685]: Timeout too large reducing to: 2147483646 (TIME_MAX - 1) Jan 28 20:35:12 localhost kwin_x11[2135]: kwin_core: Compositing is not possibleund hier:
Codeps auxDie Ausgabe von "ps aux" hänge ich unten als ps-auxAusgabe.txt-Datei an, weil sie mehr als 10000 Zeichen hat. ps-auxAusgabe.txt
Um beim anderen Nutzer diese Ausgaben zu machen, müsste ich erst zu ihm wechseln. ich lass das erst einmal, um einem erneuten Einfrieren zuvorzukommen.Die einfachste Lösung wäre aber hier, so wie Ihr geschrieben habt, einen neuen Benutzer anlegen und dann langsam die eigenen Dateien übertragen.
Grüße, Heinz-Peter
Die Option haben wir leider nicht mehr, nachdem das Übel auch auf den Hauptuser übergegriffen hat. Es läuft dann wohl auf eine Neuinstallation hinaus.
Danke für Deine Bemühungen,
Erika und Hartmut
-
Hab inzwischen mal noch bissel nachgeforscht. TCP Xmas Scan ist eine recht beliebte Art des Portscan. Das Ziel von TCP-Port-Scanning besteht darin, die von einem Zielsystem angebotenen Netzwerkdienste zu erkennen. Die Idee, die TCP-Port-Scanning zugrunde liegt, ist relativ simpel. Ein Testpaket wird an den Ziel-Port gesendet, und je nach Antwort – oder fehlender Antwort – des Zielsystems lässt sich einer der folgenden Zustände über den Ziel-Port ableiten: Der Port ist geöffnet, geschlossen oder gefiltert. Ein offener Port akzeptiert eingehende Verbindungen, um einen bestimmten Dienst zur Verfügung zu stellen. Für einen geschlossenen Port wiederum gibt es keine Anwendung, die eingehende Verbindungen akzeptiert. Infolgedessen weist ein solcher Port etwaige Verbindungsanfragen zurück. Falls eine Paketfilterung eingerichtet wurde, die an den Ziel-Port gesendete Pakete verwerfen soll, handelt es sich um einen gefilterten Port. In der Regel lässt sich in diesem Fall nicht feststellen, ob der Port geöffnet oder geschlossen ist. Daher auch eure massiven Ack’s. im Log. Nun scheint es mir, das in eurem Falle wohl ein offener Port gefunden wurde und der Rechner wurde somit kompromittiert. Man kann also mit hoher Wahrscheinlichkeit davon ausgehen, das euer Rechner mit Schadsoftware besetzt ist. Tut mir leid, aber besser ist es, wenn ihr mit diesem Rechner nicht mehr Online geht. Bitte den Router neu starten, damit die Hacker nicht weiter zugreifen können und die Platten, wie schon erwähnt, partitionieren.
Edit: Ein leuchtendes Beispiel dafür, warum man keine Ports öffnen soll.
-
Ich lese hier ja nur, aber es gibt leider zu viele Arschlöcher hier, um mich selbst mehr einbringen zu wollen.
-
Erika zum Thema Firefox: Wundert mich irgendwie. Du hattest in Post #3 unter anderem folgendes mitgeteilt:
erika@localhost:~> zypper se -si firefox
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...
S | Name | Type | Version | Arch | Repository
---+------------------------------------+-------+-----------------+--------+-------------------------------------------------------------
i+ | MozillaFirefox | Paket | 91.5.0-152.12.1 | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
i+ | MozillaFirefox-branding-openSUSE | Paket | 68-lp153.4.22 | x86_64 | Haupt-Repository
i | MozillaFirefox-translations-common | Paket | 91.5.0-152.12.1 | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
Danach wäre m. E. Firefox für Leap 15.2 installiert. Nur das Branding ist Leap 15.3.
-
