Een goedendag,

Sinds afgelopen week is een van mijn colocated servers verplaatst naar een nieuwe locatie.
Al daar aangekomen zijn de nieuwe IP adressen netjes in gebruik genomen en alles functioneerde naar behoren.

Echter savonds rond een uurtje of 18:30 viel in een keer mijn hoofd IP weg,
geen mail meer, geen ssh meer etc.

ssh naar dat IP gaf een mooie melding dat mijn hostkey file niet meer goed was en tevens dat het wachtwoord niet functioneerde.

De websites gehost op het 3e IP van die machine, die functioneerden nog perfect.

Wat bleek ?
cat /var/log/dmesg.today
arp: 00:13:8f:25:6a:09 is using my IP address xxx.xxx.xxx.148!
arp: 00:13:8f:25:6a:09 is using my IP address xxx.xxx.xxx.148!

bij een netwerk restart was de machine wel up, maar helemaal geen dataverkeer meer, same story.

Hoe kan ik het beste achterhalen wie wat waar ?
Nu weer namelijk (nadat ik weer 3 uur heb getreind voor 1 reboot), en raad eens wat.. 18:30 geweest.. xxx.xxx.xxx.148 is weer disconnected.

4409

Aan je colo boer/ISP vragen van wie dat mac adres is :). En vragen of ze het niet in fatsoenlijke vlans op kunnen splitsen.

Met nmap kun je het MAC adres zien :)

tja dan moet ik alleen wel op mijn colo kunnen, helaas lukt dat momenteel slecht tot niet :(

Kun je niet via een ander IP op je colo komen?

als ik via de xxx.xxx.xxx.150 erop wil met SSH krijg jewel de login te zien,
echter daarna gaat het vrij snel op timeout.

Dit is een probleem van je coloboer. Hij heeft twee maal hetzelfde IP aan twee klanten gegeven. Gewoon de melding vanuit je syslog naar hen sturen, en vragen dat ze het oplossen.

Wanneer ze niet weten waarover je het hebt, andere coloboer zoeken.

@mediaserve

via een backdoor (welke ik gelukkig nog vanuit de testsetup erop had staan) kan ik nog sshen naar de machine.
weet jij zo het nmap commando om het mac adres te vinden ?

(dan ga ik een nmap over de /24 halen om te zien welke eikel dit veroorzaakt)

Met NMAP (http://www.insecure.org/nmap/) -A -O [IP] moet het lukken, krijg je tevens wat meer info :)


MAC Address: 00:11:2F:16:3F:FC (Asustek Computer)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP|2003/.NET
OS details: Microsoft Windows 2003 Server, 2003 Server SP1 or XP Pro SP2
Service Info: OS: Windows

ik heb de hele /24 gescand


for i in `jot 254 1`; do nmap -A -O xxx.xxx.xxx.$i >> nmap ; done

echter nergens dat mac adres te vinden uiteraard.
word toch coloboer porren dat ie in de switches eens gaat kijken.

Dit is namelijk zwaar klote, nu is het IP online, echter donderdag had ik een SIDN NS change aagevraagd.. no go uiteraard als je NS1 niet bereikbaar is.

Het is niet toevallig je eigen MAC adres waar je naar hebt gezocht? :p

hehehehe neuh niet bepaald ;)

mijn mac adres = 00:60:97:d8:f2:14
mac adres dat het conflict genereerd = 00:13:8f:25:6a:09

klein verschil ;)

ik heb de hele /24 gescand


for i in `jot 254 1`; do nmap -A -O xxx.xxx.xxx.$i >> nmap ; done

echter nergens dat mac adres te vinden uiteraard.
word toch coloboer porren dat ie in de switches eens gaat kijken.

Dit is namelijk zwaar klote, nu is het IP online, echter donderdag had ik een SIDN NS change aagevraagd.. no go uiteraard als je NS1 niet bereikbaar is.

Wat is het nut van scannen als je het IP al weet..

telnet xx.xx.xx.xx 25

en vaak zie je de hostname ;)

ik heb de hele /24 gescand


for i in `jot 254 1`; do nmap -A -O xxx.xxx.xxx.$i >> nmap ; done


Voor een volgende keer: nmap -A -O x.y.z.0/24 > results.txt
nmap snapt CIDR, scheelt loopje typen.