• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Seltsamer Dienst "Windows Media Player Sharing / MOBIL"

gorgonz

Hacker
Weiss gar nicht genau, wie ich an das Thema rangehen soll. Erst mal, was los ist:

Env:
Laptop Samsung RC530 mit
OpenSUSE 42.2 64Bit und Windows 7 Dualboot
Fritzbox 7390

Hab meine beiden Netzwerke (LAN, WLAN) mal wieder gescanned. Dabei ist mir ein unerwarteter Dienst aufgefallen:
Windows Media Player Sharing / MOBIL

Der Dienst hat sich im WLAN gemeldet, LAN war nicht angeschlossen. Das hat mich erstaunt, da der Laptop mit OpenSUSE gestartet ist.

Nachfrage bei AVM hat ergeben, sie haben mit dem Dienst nichts zu tun und das wirkt plausibel, denn der Dienst verschwindet sofort, wenn ich den Laptop runterfahre.

2. Versuch: Zusätzlich LAN angesteckt und schon taucht der Dienst unter LAN zusätzlich auf.

3. Versuch: Windows 7 gebootet und beide Dienst tauchen auch hier auf.

Samsung angerufen, die behaupten, dass muss ein Dienst der gerade laufenden Betriebssysteme sein. Ich selbst kann es nicht recht glauben, da sich die beiden Dienste unter beiden Betriebsystemen identisch anmelden. Und warum sollte Linux einen Windowsdienst starten?

Habt ihr Erfahrungen mit sowas?

Wer eine Fritzbox hat, könnte mal unter Heimnetz=>Heimnetzübersicht nachsehen. Da wird der Dienst angezeigt. Mein PC (Linux), ebenfalls Netzwerkmitglied zeigt so einen Dienst nicht an
 

marce

Guru
wenn mein Google richtig tut wäre es Port 1755 - schau also einfach mal nach, was sich dahinter bei Dir versteckt.
 
OP
G

gorgonz

Hacker
Hi Marce,

ich bin nicht sicher, wie ich das ermitteln kann, an welches Kommando denkst Du?
Die beiden Dienste haben in ihren Netzen eigene IP Adressen.

Was ich probiert habe: nmap ip bzw. nmap -Pn ip
Das liefert dann
Code:
Starting Nmap 6.47 ( http://nmap.org ) at 2017-06-07 13:38 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.04 seconds

bzw
Code:
Starting Nmap 6.47 ( http://nmap.org ) at 2017-06-07 13:38 CEST
Stats: 0:02:47 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 83.00% done; ETC: 13:42 (0:00:34 remaining)
Stats: 0:02:53 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 86.00% done; ETC: 13:42 (0:00:28 remaining)
Stats: 0:03:05 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 92.00% done; ETC: 13:42 (0:00:16 remaining)
Stats: 0:03:13 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 96.00% done; ETC: 13:42 (0:00:08 remaining)
Nmap scan report for linux-zzz.fritz.box (192.168.x.y)
Host is up.
All 1000 scanned ports on linux-zzz.fritz.box (192.168.x.y) are filtered

Auch mal die Variante für UDP probiert: nmap -sU xx
Code:
Nmap scan report for linux-zzz.fritz.box (192.168.x.y)
Host is up (0.00031s latency).
All 1000 scanned ports on linux-zzz.fritz.box (192.168.x.y) are open|filtered
MAC Address: xx:xx:xx:xx:xx:xx (Samsung Electronics CO.)


Habs auch mal im Browser probiert mit ip:1755 => keine Reaktion
 
OP
G

gorgonz

Hacker
ok, einen hab ich noch zu diesem Port: nmap -p 1755 192.168.x.y
liefert
Code:
Starting Nmap 6.47 ( http://nmap.org ) at 2017-06-07 14:42 CEST
Nmap scan report for linux-zzz.fritz.box (192.168.x.y)
Host is up (0.00031s latency).
PORT     STATE    SERVICE
1755/tcp filtered wms
MAC Address: xx:xx:xx:xx:xx:xx (Samsung Electronics CO.)

Wie ist das zu interpretieren? Kurze Tests bei anderen IPs zeigen, dass es auch diese Rückmeldung gibt:
Code:
PORT     STATE  SERVICE
1755/tcp closed wms

Das "filtered" ist dann wohl ein Hinweis, dass der Port reagiert, oder?
 
A

Anonymous

Gast
Hattest du auf der Fritz.box mal irgendwann Ports geöffnet?

Gesendet von meinem SM-G900F

 
OP
G

gorgonz

Hacker
hab mal den Modus gewählt, die listener aufzuzählen, meinst du das?: netstat -l
Code:
Aktive Sockets in der UNIX Domäne (Nur Server)
Proto RefZäh Flaggen     Typ        Zustand       I-Node Pfad
unix  2      [ ACC ]     STREAM     HÖRT         23314  /run/NetworkManager/private-dhcp
unix  2      [ ACC ]     STREAM     HÖRT         29727  @/tmp/.ICE-unix/2095
unix  2      [ ACC ]     STREAM     HÖRT         22425  @/tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     HÖRT         22426  /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     HÖRT         26936  /run/user/1000/ksocket-name/kdeinit4__0
unix  2      [ ACC ]     STREAM     HÖRT         11842  /var/run/nscd/socket
unix  2      [ ACC ]     STREAM     HÖRT         18758  /run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     HÖRT         22857  /run/cups/cups.sock
unix  2      [ ACC ]     STREAM     HÖRT         18761  /run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     HÖRT         15187  /run/systemd/private
unix  2      [ ACC ]     STREAM     HÖRT         27738  /run/user/1000/kdeinit5__0
unix  2      [ ACC ]     SEQPACKET  HÖRT         15202  /run/udev/control
unix  2      [ ACC ]     STREAM     HÖRT         15209  /run/lvm/lvmetad.socket
unix  2      [ ACC ]     STREAM     HÖRT         22643  /run/mcelog/mcelog-client
unix  2      [ ACC ]     STREAM     HÖRT         23425  /run/user/1000/klauncherTJ2066.1.slave-socket
unix  2      [ ACC ]     STREAM     HÖRT         30085  /run/user/1000/ksocket-name/klauncherhX2425.slave-socket
unix  2      [ ACC ]     STREAM     HÖRT         23186  public/cleanup
unix  2      [ ACC ]     STREAM     HÖRT         23191  private/rewrite
unix  2      [ ACC ]     STREAM     HÖRT         23194  private/bounce
unix  2      [ ACC ]     STREAM     HÖRT         23197  private/defer
unix  2      [ ACC ]     STREAM     HÖRT         23200  private/trace
unix  2      [ ACC ]     STREAM     HÖRT         23203  private/verify
unix  2      [ ACC ]     STREAM     HÖRT         23206  public/flush
unix  2      [ ACC ]     STREAM     HÖRT         23209  private/proxymap
unix  2      [ ACC ]     STREAM     HÖRT         23212  private/proxywrite
unix  2      [ ACC ]     STREAM     HÖRT         23215  private/smtp
unix  2      [ ACC ]     STREAM     HÖRT         23218  private/relay
unix  2      [ ACC ]     STREAM     HÖRT         23221  public/showq
unix  2      [ ACC ]     STREAM     HÖRT         23224  private/error
unix  2      [ ACC ]     STREAM     HÖRT         23227  private/retry
unix  2      [ ACC ]     STREAM     HÖRT         23230  private/discard
unix  2      [ ACC ]     STREAM     HÖRT         23233  private/local
unix  2      [ ACC ]     STREAM     HÖRT         23236  private/virtual
unix  2      [ ACC ]     STREAM     HÖRT         23239  private/lmtp
unix  2      [ ACC ]     STREAM     HÖRT         23242  private/anvil
unix  2      [ ACC ]     STREAM     HÖRT         23245  private/scache
unix  2      [ ACC ]     STREAM     HÖRT         29113  /run/user/1000/pulse/native
unix  2      [ ACC ]     STREAM     HÖRT         18764  @ISCSIADM_ABSTRACT_NAMESPACE
unix  2      [ ACC ]     STREAM     HÖRT         28817  @/tmp/dbus-UuOVPj2DVu
unix  2      [ ACC ]     STREAM     HÖRT         21958  /var/run/bumblebee.socket
unix  2      [ ACC ]     STREAM     HÖRT         29962  /tmp/.esd-1000/socket
unix  2      [ ACC ]     STREAM     HÖRT         970    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     HÖRT         23301  /tmp/sddm-authf3e0fc90-4138-4b64-b890-bdbb1a4e1233
unix  2      [ ACC ]     STREAM     HÖRT         29728  /tmp/.ICE-unix/2095
unix  2      [ ACC ]     STREAM     HÖRT         21986  /run/NetworkManager/private
unix  2      [ ACC ]     STREAM     HÖRT         26093  /run/user/1000/systemd/private
 
OP
G

gorgonz

Hacker
Hi Alero,

ja, das hatte ich schon mal: Port 22 (ssh) für meinen raspi ;-). Ist aber schon länger nicht mehr aktiv (beides). Worauf willst Du hinaus, wenn es genügt, dass ich eine Freigabe vor längerer Zeit *hatte*?
 
A

Anonymous

Gast
Nur so ein Verdacht. Bei der fritz.box sind ja von Haus aus alle Ports nach aussen geschlossen.

Gesendet von meinem SM-G900F

 
A

Anonymous

Gast
Im Browser
fritz.box/html/capture.html

Gesendet von meinem SM-G900F

 
OP
G

gorgonz

Hacker
Hi Marce,

interessant, danke dir :), so nebenbei, hab mich schon gefragt, wie ich die Portinfos dazu bekommen könnte ;-)

Code:
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1076/cupsd          
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1774/master         
tcp        0      0 :::1716                 :::*                    LISTEN      2142/kdeconnectd    
tcp        0      0 ::1:631                 :::*                    LISTEN      1076/cupsd          
tcp        0      0 ::1:25                  :::*                    LISTEN      1774/master         
udp        0      0 0.0.0.0:40552           0.0.0.0:*                           960/avahi-daemon: r 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           2780/dhclient       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1840/dhclient       
udp        0      0 192.168.x.y:123      0.0.0.0:*                           1542/ntpd           
udp        0      0 192.168.x.y:123      0.0.0.0:*                           1542/ntpd           
udp        0      0 127.0.0.1:123           0.0.0.0:*                           1542/ntpd           
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1542/ntpd           
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           960/avahi-daemon: r 
udp        0      0 0.0.0.0:51799           0.0.0.0:*                           1840/dhclient       
udp        0      0 0.0.0.0:64415           0.0.0.0:*                           2780/dhclient       
udp        0      0 :::52993                :::*                                2780/dhclient       
udp        0      0 fe80::7a92:9cff:fb5:123 :::*                                1542/ntpd           
udp        0      0 fe80::ea11:32ff:fba:123 :::*                                1542/ntpd           
udp        0      0 ::1:123                 :::*                                1542/ntpd           
udp        0      0 :::123                  :::*                                1542/ntpd           
udp        0      0 :::46090                :::*                                1840/dhclient       
udp        0      0 :::5353                 :::*                                960/avahi-daemon: r 
udp        0      0 :::1716                 :::*                                2142/kdeconnectd    
udp        0      0 :::55387                :::*                                960/avahi-daemon: r

Ich frag mich halt immer noch, ob das überhaupt vom OS ausgehen kann.
 

spoensche

Moderator
Teammitglied
Auf Port 1755, Service WMS, pass https://msdn.microsoft.com/en-us/library/windows/desktop/dd892391(v=vs.85).aspx

Also M$, das Tor zur Welt, stellt also noch einen weitere Tür bereit. Mein Tipp, deinstalliere den Media Player Müll und verwende stattdessen einen Open Source Media Player. Das ist also nicht auf Samsungs Mist gewachsen.

gorgonz schrieb:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1076/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1774/master
tcp 0 0 :::1716 :::* LISTEN 2142/kdeconnectd
tcp 0 0 ::1:631 :::* LISTEN 1076/cupsd
tcp 0 0 ::1:25 :::* LISTEN 1774/master
udp 0 0 0.0.0.0:40552 0.0.0.0:* 960/avahi-daemon: r
udp 0 0 0.0.0.0:68 0.0.0.0:* 2780/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 1840/dhclient
udp 0 0 192.168.x.y:123 0.0.0.0:* 1542/ntpd
udp 0 0 192.168.x.y:123 0.0.0.0:* 1542/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1542/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1542/ntpd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 960/avahi-daemon: r
udp 0 0 0.0.0.0:51799 0.0.0.0:* 1840/dhclient
udp 0 0 0.0.0.0:64415 0.0.0.0:* 2780/dhclient
udp 0 0 :::52993 :::* 2780/dhclient
udp 0 0 fe80::7a92:9cff:fb5:123 :::* 1542/ntpd
udp 0 0 fe80::ea11:32ff:fba:123 :::* 1542/ntpd
udp 0 0 ::1:123 :::* 1542/ntpd
udp 0 0 :::123 :::* 1542/ntpd
udp 0 0 :::46090 :::* 1840/dhclient
udp 0 0 :::5353 :::* 960/avahi-daemon: r
udp 0 0 :::1716 :::* 2142/kdeconnectd
udp 0 0 :::55387 :::* 960/avahi-daemon: r
[/code]

Also unter Linux läuft bei dir kein WMS Service. Das wäre auch sehr sehr verwunderlich gewesen.
 
OP
G

gorgonz

Hacker
Hi spoensche,

das war ja mein Problem: Warum meldet die Fritzbox diesen Service, obwohl ich leap gebootet habe.

Ich denke, dass ich inzwischen einen Schritt weiter bin. Diese Dinge sind mir aufgefallen:

- die Fritzbox meldet den Dienst öfter auch dann noch, wenn der Laptop schon runter gefahren ist
- die Fritzbox meldet den Dienst (an LANx) öfter auch dann noch, wenn ich das LANx Kabel von der Fritzbox abziehe
- kurzes Ab/Anmelden am Fritzbox WebServer erzeugt auch keine Aktualisierung
- es bedarf einer bestimmten TimeOut Zeit (etwa 3Minuten), um eine aktualisierte Anzeige zu bekommen
- Hab mal für einen Zustand ohne Anzeige dieses Service gesorgt, dann die aktuelle c't desinfect 2017 gebootet (ohne LAN Kabel). System ist oben und fragt nach Netzwerk. Jetzt LAN Kabel gesteckt und erlaubt, dass nach aktuellen Viren-Patterns gesucht wird. Peng, schon meldet die Fritzbox den Dienst.

Ich tendiere inzwischen dazu, dass mit der Fritzbox Anzeige selbst schon was nicht in Ordnung ist. Möglicherweise jag ich nur einem Phantom hinterher. Es ist schon so, dass ich eine gewisse Voreingenommenheit bei Samsung habe und ihnen zutraue, dass sie im Laptop irgendwas eingebaut haben ;-).

Kann jemand Von Euch (mit Fritzbox) das Verhalten sehen?
 

tomm.fa

Administrator
Teammitglied
gorgonz schrieb:
Kann jemand Von Euch (mit Fritzbox) das Verhalten sehen?
Ja, es ist mein Qnap-NAS. Nur erscheint dort nicht „MOBIL“ am Ende, sondern der Name meines NAS (Windows Media Player Sharing / MeinNAS).

Edit und Notiz für mich hinzugefügt:
Der avahi-Dienst läuft bei dir unter Linux.
 
OP
G

gorgonz

Hacker
Hey tomm.fa,

danke für die Rückmeldung :).

Trotz gleichem Verhalten doch noch eine Frage dazu: Nutzt Du sowas wie ein Mediacenter drauf? Das könnte sonst in eine andere Richtung gehen ;-)
 
OP
G

gorgonz

Hacker
ja, das ist ja auch normal :). Hmm, ich warte mal noch, ob weitere Meldungen dazu kommen. Ansonsten könnte es interessant sein, den Dienst mal (für 3min) zu deaktivieren und dann die fritzbox Anzeige zu aktualisieren - aber nur, wenn es Dich auch interessiert , tomm.fa.

Was interessant wäre, ob das auch im Zusammenhang mit anderen (Linux) Laptops so ist. Dann würde ich das echt knicken als Falschanzeige der Fritzbox. Ich selber hab ja nur einen und es könnte ca. eine Woche dauern, bis mich jemand mit seinem Laptop besucht ;-).
 
Oben