Søg
Avatar billede hrc Mester
17. november 2003 - 11:54 Der er 14 kommentarer og
2 løsninger

Autonome opkald til DNS-server.

Jeg har en kunde med en Zyxel Prestige ISDN forbindelse og en større telefonregning idet der, gennem længere tid, er blevet ringet op til en DNS-server 4 gange i timen. Nogle gange blev forbindelse ikke afbrudt igen (og hvor tit surfer man i 18 timer?).

Via Zyxels pakke analyser kan jeg se at maskinerne kontakter en af Tiscalis DNS-servere men jeg kan ikke se hvad de spørges om.

Begge tilkoblede maskiner er Win98 (de findes endnu), den ene er nu helt nyinstalleret med en SR2'er - men den ringer stadig op. På maskinen er der installeret C5 light, BG Bank og et USB-lønkortmodul - det er alt.

Maskinerne deler frem og tilbage af både harddiskkataloger og printere. Jeg har prøvet at sætte de (hårdkodede) IP numre ind i en HOSTS-fil på de respektive maskiner. Har også ændret sharenavnene fra at referere til PC1 osv. så refererer de til IP-nummeret. Det skete der ikke det store ved.

- Hvordan kan jeg undersøge hvad der ringer op?
- Hvordan kan jeg forhindre det?
- Kan man sætte noget proxy-agtigt op som bremser det?
- Blev foreslået at sætte en lokal dns-server op, men det lyder som et stort arrangement, ikke?
Avatar billede espersen Novice
17. november 2003 - 12:23 #1
Umiddelbart 2 bud på problemet:

1. Email-program kalder op og checker for emails (men lukker ikke forbindelsen igen)

2. I kunne være HiJacked
Avatar billede rune.rasmussen Nybegynder
17. november 2003 - 12:26 #2
Jeg var ude for noget lignende da jeg benyttede en ISDN router (faktisk også en Zyxel).
Her var det fordi windows periodisk checker netværket via netbios.
løsningen var at forhindre at trafik på de porte der benyttes af netbios, ikke etablerede en forbindelse.

men når det er win98 og de prøver at kontakte en DNS server, så vil jeg tro det er et program der gør det.
Avatar billede espersen Novice
17. november 2003 - 12:55 #3
For at finde ud af hvad der måske ligge i baggrunden kan det være en idé at benytte følgende fremgangsmåde:

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart. (SpyBot fjerner diverse SpyWare)

Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

(så kommer der lige pludselig ekspert-bistand til at fjerne det som skal fjernes - sikkert Arlet, Fromsej eller Aovergaard)
Avatar billede hrc Mester
17. november 2003 - 13:03 #4
Hej rune og espersen. Lader lige spørgsmålet cirkulere lidt endnu. Kunden kører Outlook ekspress, men jeg har slået automatisk mail-tjek fra (og programmet kører normalt ikke). Den maskine der ringer op (IP kan ses via Zyzel's analyzer), er den nyinstallerede (og garanterer, at det er gjort ordentligt...)

Rune: Det lyder som en god idé at lukke de porte som netbios bruger. Hvordan gjorde du det? Har Zyxel'en den mulighed? Overvejer at nakke portene 137-139 og 445. Har ikke lige port-listen foran mig, men det vil ikke give problemer med email pop- og smtp-servere, vel?
Avatar billede espersen Novice
17. november 2003 - 13:06 #5
porte:

http = 80
ftp = 20
smtp = 25
Avatar billede espersen Novice
17. november 2003 - 13:09 #6
Den logfil som HijackThis kan lave vil vise alle programmer/processer der kører på computeren - derfor foreslår jeg den.
Avatar billede arlet Juniormester
17. november 2003 - 13:10 #7
ja, det vil den*S*

kunne godt ligne en hijacking, som espersen siger...
Avatar billede hrc Mester
17. november 2003 - 13:27 #8
Har svært ved at tro der er nogen der kaprer maskinen, for der sker ikke andet end, at DNS'en kontaktes. Et opkald og så nedluk efter 30 sek. Maskinen blev formateret inden jeg smed Win98sr2 ind - for netop at slippe for den slags. Kunden har ikke modtaget regninger fra Maldiverne eller ligende (og det har stået på siden foråret - regningen er stor)

Kan det ikke være (den berygtede) NETBIOS der er synderen? Jeg tror det er Windows der er kreativ.

Hijack, det er en AdAware lignende tingest, ikke? Jeg har kørt den seneste AdAware på maskinerne og udover nogle relativ harmløse infokager (dansk oversættelse på Linux) som bare kunne slettes.
Avatar billede arlet Juniormester
17. november 2003 - 13:30 #9
Hijackthis og adaware har intet med hinanden at gøre. læs hvad espersen skriver om den, den viser kørerne programmer og processer, dvs man også kan se og der er sbnavs der er aktivt
Avatar billede espersen Novice
17. november 2003 - 13:34 #10
SpyBot fanger desuden en hel del sager som AdAware fra Lavasoft ikke fanger - mens AdAware omvendt fanger nogle "mindre farlige" cookies som ikke fanges af SpyBot.
Avatar billede rune.rasmussen Nybegynder
17. november 2003 - 14:07 #11
hrc>> jo, det er de porte du nævnte.
jeg kan desværre ikke huske den præcise måde jeg gjorde det på, men det var via webinterfacet at jeg kunne opsætte en regel for hvornår der skulle ringes op.

og som espersen skriver, så benytter http, pop og smtp nogle andre porte.
Avatar billede hrc Mester
17. november 2003 - 14:19 #12
Prøver at spærre portene af - og hvis det ikke virker, så kører jeg HijackThis. Håber at I kan acceptere at jeg har fordelt pointene derefter..
Avatar billede espersen Novice
17. november 2003 - 14:20 #13
Uddeling af point ville jeg vente med til at problemet var fundet og løst.
Avatar billede rune.rasmussen Nybegynder
17. november 2003 - 14:24 #14
ja, det havde været i orden hvis du havde testet det før du gav point.
men du må sige til hvis det ikke virker.
Avatar billede hrc Mester
19. november 2003 - 21:29 #15
Nok ikke spildte kræfter men kunden har valgt at skippe ISDN og bestiller nu TDC ADSL m. sikkerhedspakken i stedet. Sikkert det rigtige valg, men det kunne nu være sjovt at vide hvad der ringer op...

Jeg efterlyste forslag og det fik jeg - det vil jeg godt give points for (desuden synes jeg det ser så brutalt ud når svar bliver "afvist" - mangler en graduering af udtrykket. ;-).
Avatar billede espersen Novice
19. november 2003 - 21:42 #16
;-)  - de bliver da ikke andet end tilfredse med en bedre forbindelse... bare ærgerligt "vi" aldrig fandt er forklaring.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Internetforbindelser kategorien

Titel Indlæg Oprettet Seneste aktivitet
Mobilt internet med datadelingskort Af Erik R i Internetforbindelser 4 22/06/202614:51 23/06/202612:45
Pris på fiber Af lurup i Internetforbindelser 2 28/04/202613:58 28/04/202614:15
Netkort finder 5 forbindelser,bare ikke min, Af valby i Internetforbindelser 1 20/04/202619:38 20/04/202621:20
Mistes nøglen til mit Wi-Fi Af valby i Internetforbindelser 7 05/05/202521:37 08/05/202511:03
Problem med verificering på hjemmesider Af akse0435 i Internetforbindelser 3 09/03/202502:09 10/03/202505:08
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 22:20 Jeg bakser med noget Database og If Then med ASP - hvad gør jeg galt? Af Peer i ASP
I går 18:56 Fjern AI-eksperten Af KurtG i Office & Kontorpakker
24/0620:51 Forslag søges til at forbinde gamle maskiner med nyere TV Af VD0506 i Musik & videoafspillere
22/0614:51 Mobilt internet med datadelingskort Af Erik R i Internetforbindelser
21/0620:16 Lokal konto? Af Jytte i Word
White papers
Flere white papers »