[resolu] trafic louche sur ppp0 : residu de ver windows lol

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : [resolu] trafic louche sur ppp0 : residu de ver windows lol

Tomate

salut,

depuis ke j ai installe snort, j ai decouvert ke j avais du trafic bizarre sur ppp0 :

root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
01:20:44.246462 127.0.0.1.www > 213.103.109.124.1647: R 0:0(0) ack 1697120257 win 0
0x0000 4500 0028 4212 0000 7e06 38d9 7f00 0001 E..(B...~.8.....
0x0010 d567 6d7c 0050 066f 0000 0000 6528 0001 .gm|.P.o....e(..
0x0020 5014 0000 8203 0000 P.......
01:20:50.406445 127.0.0.1.www > 213.103.109.124.1835: R 0:0(0) ack 938278913 win 0
0x0000 4500 0028 60b9 0000 7e06 1a32 7f00 0001 E..(`...~..2....
0x0010 d567 6d7c 0050 072b 0000 0000 37ed 0001 .gm|.P.+....7...
0x0020 5014 0000 ae82 0000 P.......
01:20:54.676480 127.0.0.1.www > 213.103.109.124.1336: R 0:0(0) ack 1476657153 win 0
0x0000 4500 0028 42f4 0000 7e06 37f7 7f00 0001 E..(B...~.7.....
0x0010 d567 6d7c 0050 0538 0000 0000 5804 0001 .gm|.P.8....X...
0x0020 5014 0000 905e 0000 P....^..
01:21:16.006449 127.0.0.1.www > 213.103.109.124.1254: R 0:0(0) ack 56557569 win 0
0x0000 4500 0028 2068 0000 7e06 5a83 7f00 0001 E..(.h..~.Z.....
0x0010 d567 6d7c 0050 04e6 0000 0000 035f 0001 .gm|.P......._..
0x0020 5014 0000 e555 0000 P....U..
01:21:17.726450 127.0.0.1.www > 213.103.109.124.1407: R 0:0(0) ack 1676279809 win 0
0x0000 4500 0028 4e5b 0000 7e06 2c90 7f00 0001 E..(N[..~.,.....
0x0010 d567 6d7c 0050 057f 0000 0000 63ea 0001 .gm|.P......c...
0x0020 5014 0000 8431 0000 P....1..

l ip en 213 est mon ip externe

pourtant netstat me sort ca :

root@tomate:~$ netstat -aeev
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 0 *:2049 *:* LISTEN root 79569
tcp 0 0 *:swat *:* LISTEN root 358
tcp 0 0 *:time *:* LISTEN root 355
tcp 0 0 *:discard *:* LISTEN root 352
tcp 0 0 *:netbios-ssn *:* LISTEN root 81094
tcp 0 0 *:daytime *:* LISTEN root 354
tcp 0 0 *:sunrpc *:* LISTEN root 79432
tcp 0 0 *:www *:* LISTEN root 77983
tcp 0 0 *:14000 *:* LISTEN root 1958
tcp 0 0 *:auth *:* LISTEN root 357
tcp 0 0 *:626 *:* LISTEN root 79706
tcp 0 0 tomate.homelinux:domain *:* LISTEN root 77970
tcp 0 0 *:ftp *:* LISTEN root 356
tcp 0 0 *:smtp *:* LISTEN root 78593
tcp 0 0 localhost:953 *:* LISTEN root 77973
tcp 0 0 localhost:6010 *:* LISTEN tomate 85639
tcp 0 0 *:microsoft-ds *:* LISTEN root 81093
tcp6 0 0 tomate.homelinux.o:pop3 *:* LISTEN root 78724
tcp6 0 0 tomate.homelinux.:imap2 *:* LISTEN root 78715
tcp6 0 0 *:ssh *:* LISTEN root 912
tcp6 0 0 ip6-localhost:6010 *:* LISTEN tomate 85638
tcp6 0 576 tomate.homelinux.or:ssh tomate.tomate.hom:33294 ESTABLISHEDroot 85615
udp 0 0 *:2049 *:* root 79566
udp 0 0 tomate.homel:netbios-ns *:* root 81087
udp 0 0 *:netbios-ns *:* root 81084
udp 0 0 *:discard *:* root 353
udp 0 0 tomate.home:netbios-dgm *:* root 81088
udp 0 0 *:netbios-dgm *:* root 81085
udp 0 0 *:32793 *:* root 77971
udp 0 0 tomate.homelinux:domain *:* root 77969
udp 0 0 *:623 *:* root 79701
udp 0 0 *:sunrpc *:* root 79431
udp 0 0 d213-103-109-124.cu:ntp *:* root 80818
udp 0 0 tomate.homelinux.or:ntp *:* root 80817
udp 0 0 localhost:ntp *:* root 80816
udp 0 0 *:ntp *:* root 80815
udp6 0 0 *:32794 *:* root 77972

donc rien d anormal

donc comment savoir ki genere ce trafic (en fait j ai l impression ke ce sont des reponses mais a koi et pour ki ? :??: )

voilou, help

Message édité par Tomate le 17-11-2003 à 17:11:31

---------------
:: Light is Right ::

Publicité

avv

Nous avons
- le NTP (service mise a jour heure/date) c'est pas le plus grave mais ne l'aurais-tu pas configuré en serveur ?

- le netbios (t'aurais pas installé samba serveur des fois)
- le microsoft-ds (itou samba) pour moi le plus dangereux avec netbios

- ftp, smtp, www, sunrpc : en as-tu vraiment besoin

- les ports 32793, 623 ... emule, client msn, autre ???

- le ssh en as-tu vraiment besoin en mode serveur ?

Perso je préfère ethereal pour la capture de paquet ip, je le trouve plus clair et permet de mieux suivre un trafic donné.

Message édité par avv le 17-11-2003 à 07:38:14

nikosaka

tomate77 a écrit :

salut,

depuis ke j ai installe snort, j ai decouvert ke j avais du trafic bizarre sur ppp0 :
...

donc comment savoir ki genere ce trafic (en fait j ai l impression ke ce sont des reponses mais a koi et pour ki ? :??: )

voilou, help

c'est marrant que tu poses la question, je voulais le faire moi aussi.
J'ai apparemment le même problème (enfin si c'est un problème).
J'ai installé snort et acidlab sur ma passerelle et la majeure partie des paquets louches sont des "BAD LOOPBACK TRAFFIC".
Ce sont des paquets de 127.0.0.1:80 destinés à mon ip publique (ports variant de 1100 à 1800) avec les flags tcp ACK et RST.

acidlab me sort un lien vers un pdf qui parle d'egress filtering: http://www.sans.org/rr/papers/index.php?id=1059
je vois pas le rapport :??:

donc je suis preneur de toute info à ce sujet

Message édité par nikosaka le 17-11-2003 à 10:27:59

Tomate

nikosaka a écrit :

oui c est exactement ca

donc les ports dst sont completement aleatoires et c un pb

mais je n arrive pas a tracer le process ki recoie ces paquets

Message édité par Tomate le 17-11-2003 à 12:38:01

---------------
:: Light is Right ::

Tomate

avv a écrit :

les ports sont aleatoires en dst
de plus, tous les paquets sont identiques (2 differents je crois)

---------------
:: Light is Right ::

bilbo24

déjà si tu fermes ton port 80 sur l'interface loopback (aucune raison qu'une émission en 213 ne pointe vers ta 127.0.0.1), tu n'auras plus les paquets acknowledge de 127 vers 213.
Si la 213.103.109.124 est vraiment ton IP ppp fournie par ton provider, alors un processus client (port 1xxx) sur cette IP (donc sur ta box) essaie d'ouvrir une connexion sur le 127.0.0.1:80. A toi de trouver lequel.

Tomate

bilbo24 a écrit :

c est ce k on essaie de trouver depuis un bout de tps

---------------
:: Light is Right ::

bilbo24

first, ferme tout ce qui set pas par pitié, et ce sur tous les ports (ntp, rpc, ftp ...) les uns après les autres.
Ne garde que ta connexion cua et ton www pour qu'il continue à émettre des ACK.
ensuite surveille les dump à chaque fermeture de service.
Rem : les ps -edf, pstree et top sont aussi bien venus pour voir l'activité. Tu as aussi tcpdump pour dumper tes paquets

bilbo24

Les ports réception sont aléatoires parce que ce sont des processus CLIENTS qui INITIENT la connexion vers ton 80, ils sont tous >1024. Principe d'une transaction de base avec abandon = CLIENT SYN - SRV WWW ACK/SYN - CLIENT ACK/RST goodbye ...
Le processus client ferme alors son port IP et le prochain processus client aura un autre numéro deport > 1024

Tomate

bilbo24 a écrit :

le port 80 n est pas celui de mon apache
car meme sans apache de lance ca continue

j ai fait un tcpdump hier soir en ayant killé presque tous les services, et ca continuait kan meme

Message édité par Tomate le 17-11-2003 à 13:10:14

---------------
:: Light is Right ::

Publicité

bilbo24

Ben pour moi ça :

tcp 0 0 *:www *:* LISTEN

ça veut dire que t'as un processus serveur sur port 80.
--> telnet 127.0.0.1 80 et tu verras qui répond....

Tomate

bilbo24 a écrit :

Ben pour moi ça :

tcp 0 0 *:www *:* LISTEN

ça veut dire que t'as un processus serveur sur port 80.
--> telnet 127.0.0.1 80 et tu verras qui répond....

nan mais je sais ke j ai apache

le truc c est ke meme s il est coupé, ca continue

---------------
:: Light is Right ::

bilbo24

Tu peux faire un runlevel pour connaître ton init level, aller dans le rcX.d de ce runlevel et nous lister le contenu du rep + nous refiler un ps -edf, un pstree et un top de ta box au passage, ça nous éclairera plus.

Tomate

bilbo24 a écrit :

runlevel 2

bon, rc2.d :

root@tomate:/etc/rc2.d$ ls
S10sysklogd S20ddclient S20nfs-kernel-server S20sysstat S90start_adsl S99rmnologin
S11klogd S20exim S20postfix S21nfs-common S91apache S99stop-bootlogd
S14ppp S20grsec S20pure-ftpd S23ntp S91apache-ssl
S15bind9 S20hdparm S20samba S23ntp-simple S91rc.iptables
S20courier-authdaemon S20inetd S20snmpd S25nfs-user-server S95htstunnel
S20courier-imap S20makedev S20snort S89atd S99fetchmail
S20courier-pop S20mysql S20ssh S89cron S99linuxlogo

les process en cours :

root@tomate:~$ ps -edf
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 Nov16 ? 00:00:03 init
root 2 1 0 Nov16 ? 00:00:00 [keventd]
root 0 1 0 Nov16 ? 00:00:00 [ksoftirqd_CPU0]
root 0 1 0 Nov16 ? 00:00:09 [kswapd]
root 0 1 0 Nov16 ? 00:00:00 [bdflush]
root 0 1 0 Nov16 ? 00:00:00 [kupdated]
root 7 1 0 Nov16 ? 00:00:00 [jfsIO]
root 8 1 0 Nov16 ? 00:00:00 [jfsCommit]
root 9 1 0 Nov16 ? 00:00:00 [jfsSync]
root 98 1 0 Nov16 ? 00:00:01 [kjournald]
root 99 1 0 Nov16 ? 00:00:06 [kjournald]
root 224 1 0 Nov16 ? 00:00:03 /sbin/klogd
root 17307 1 0 Nov16 ? 00:00:00 /usr/sbin/inetd
root 11453 1 0 Nov16 ? 00:00:02 /usr/bin/perl -w /usr/sbin/ddclient -daemon 300 -syslog
root 3115 1 0 Nov16 ? 00:00:00 /usr/sbin/sshd
daemon 741 1 0 Nov16 ? 00:00:00 /usr/sbin/atd
root 22784 1 0 Nov16 ? 00:00:00 /usr/sbin/cron
root 22653 1 0 Nov16 ? 00:00:00 [UNICORN-SAIF]
root 31044 1 0 Nov16 ? 00:00:05 [UNICORN-INTR]
root 30297 1 0 Nov16 ? 00:00:48 [UNICORN-SM00]
root 5342 1 0 Nov16 ? 00:00:00 [UNICORN-AMU0]
root 18231 1 0 Nov16 ? 00:00:00 /usr/sbin/pppd user toto@tele2.fr
root 20559 1 0 Nov16 ? 00:00:00 hts -F localhost:22 14000
root 20871 1 0 Nov16 tty2 00:00:00 /sbin/getty 38400 tty2
root 26298 1 0 Nov16 tty3 00:00:00 /sbin/getty 38400 tty3
root 5987 1 0 Nov16 tty4 00:00:00 /sbin/getty 38400 tty4
root 31990 1 0 Nov16 tty5 00:00:00 /sbin/getty 38400 tty5
root 23194 1 0 Nov16 tty6 00:00:00 /sbin/getty 38400 tty6
root 18474 1 0 Nov16 tty1 00:00:00 /sbin/getty 38400 tty1
root 9354 1 0 Nov16 ? 00:00:00 /sbin/syslogd
root 32119 1 0 00:04 ? 00:00:00 /usr/sbin/named
root 24629 32119 0 00:04 ? 00:00:00 /usr/sbin/named
root 11681 24629 0 00:04 ? 00:00:02 /usr/sbin/named
root 20741 24629 0 00:04 ? 00:00:00 /usr/sbin/named
root 13913 24629 0 00:04 ? 00:00:00 /usr/sbin/named
root 13617 1 0 00:04 ? 00:00:00 /usr/sbin/apache
www-data 27398 13617 0 00:04 ? 00:00:00 /usr/sbin/apache
www-data 29703 13617 0 00:04 ? 00:00:00 /usr/sbin/apache
www-data 15577 13617 0 00:04 ? 00:00:00 /usr/sbin/apache
www-data 12879 13617 0 00:04 ? 00:00:00 /usr/sbin/apache
www-data 23650 13617 0 00:04 ? 00:00:00 /usr/sbin/apache
root 22711 1 0 00:05 ? 00:00:00 /usr/lib/postfix/master
postfix 20669 22711 0 00:05 ? 00:00:01 nqmgr -l -n qmgr -t fifo -u -c
root 20281 1 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 3355 20281 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 21265 20281 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 22111 20281 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 15188 20281 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 9042 20281 0 00:05 ? 00:00:00 /usr/lib/courier/authlib/authdaemond.plain start
root 32284 1 0 00:05 ? 00:00:00 /usr/sbin/couriertcpd -address=192.168.0.254 -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=4 -pid=/var/run/courier/imapd.pid -nodnslookup -noidentlookup 143 /us
root 5612 1 0 00:05 ? 00:00:00 /usr/sbin/courierlogger imaplogin
root 1688 1 0 00:05 ? 00:00:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup -address=192.168.0.254 110 /us
root 27215 1 0 00:05 ? 00:00:00 /usr/sbin/courierlogger courierpop3login
daemon 10474 1 0 00:06 ? 00:00:00 /sbin/portmap
root 18252 1 0 00:06 ? 00:00:00 /usr/sbin/rpc.nfsd
root 18254 1 0 00:06 ? 00:00:00 /usr/sbin/rpc.mountd
root 28983 1 0 00:08 ? 00:00:00 /usr/sbin/ntpd
root 8188 1 0 00:09 ? 00:00:00 /usr/sbin/nmbd -D
root 16397 1 0 00:09 ? 00:00:00 /usr/sbin/smbd -D
www-data 21119 13617 0 01:00 ? 00:00:00 /usr/sbin/apache
www-data 1744 13617 0 01:00 ? 00:00:00 /usr/sbin/apache
www-data 4391 13617 0 01:00 ? 00:00:00 /usr/sbin/apache
www-data 21063 13617 0 01:00 ? 00:00:00 /usr/sbin/apache
www-data 24129 13617 0 01:00 ? 00:00:00 /usr/sbin/apache
tomate 30551 32284 0 12:31 ? 00:00:03 /usr/bin/imapd Maildir
root 31606 3115 0 12:31 ? 00:00:00 sshd: tomate [priv]
tomate 29472 31606 0 12:31 ? 00:00:00 sshd: tomate@pts/0
tomate 32363 29472 0 12:31 pts/0 00:00:00 -bash
tomate 28927 1 0 12:31 ? 00:00:00 fetchmail
root 4541 32363 0 13:18 pts/0 00:00:00 bash
postfix 21357 22711 0 13:24 ? 00:00:00 pickup -l -t fifo -u -c

Message édité par Tomate le 17-11-2003 à 13:27:47

---------------
:: Light is Right ::

bilbo24

Bon,
tu peux couper apache et dumper les accès entrants vers 80 (les SYN, pas afficher les ACK comme dans ton msg ci-dessus) ?

Tomate

bilbo24 a écrit :

Bon,
tu peux couper apache et dumper les accès entrants vers 80 (les SYN, pas afficher les ACK comme dans ton msg ci-dessus) ?

ceux sont les memes ke ceux ke j ai donnes ds mon 1er post

---------------
:: Light is Right ::

bilbo24

Ben euh là je vois plus : à part si tu t'ai fait rootkiter (ouarf), en tcp/ip ça n'existe pas les ACK sans SYN.
Si tu coupes ton apache et que le netstat te donne un www toujours actif, alors telnet 127.0.0.1 80 ça donne quoi ?

philou_a7

\_o< coin ! >o_/

sinon, essaie de regarder avec lsof ou fuser quels processus accedent aux ports qui t'interessent

void_ppc

si il s'est fait rootkiter netstat et compagnie sont sans doute vérolés, donc tous les test là ne servent à rien.

kelus

tu peux toujours essayer chkrootkit mais sur ma debian testing, il me donne des resultats bizarres (sans doute un bug avec procps)

void_ppc

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu

Message édité par void_ppc le 17-11-2003 à 14:38:45

kelus

oui bien sur :jap:

philou_a7

\_o< coin ! >o_/

avant de parler de chrootkit, regardez donc les process qui ont ouvert /dev/ppp0 ou qui ont des sockets sur les ports incriminés

lsof / fuser

Tomate

bilbo24 a écrit :

si je coupe apache, je n ai plus le port 80 en ecoute avec netstat

mais ca continue

---------------
:: Light is Right ::

Tomate

void_ppc a écrit :

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu

hein ?

---------------
:: Light is Right ::

nikosaka

void_ppc a écrit :

ouai mais avec le chkrootkit d'un autre OS, faut considérer celui-là comme foutu

ben il suffirait de le reinstaller a coup de apt-get.
mais ce n'est pas un rootkit.
un petit coup de google sur mes log de snort ("BAD-TRAFFIC loopback traffic" ) me renvoie pas mal de réponses, et la plupart parle de spoof.
Je viens de vérifier mon script iptables et il est vrai qu'a aucun moment je n'interdit les adresses ip non routable sur mon interface publique

Tomate

nikosaka a écrit :

j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca

---------------
:: Light is Right ::

nikosaka

tomate77 a écrit :

j ai surtout l impression ke c est du trafic interne, mais j arrive pas a savoir ki fait ca

c'est vrai que pour du spoofing, je vois pas l'interet de se connecter a un port >1024 qui de plus est n'est pas ouvert

bilbo24

non je plaisante (mais on sait jamais...)
Le telnet 80 ça a donné quoi quand apache est down ?
Si tu te fais spoofer avec des paquets mal formés ton appli répondra par un RST de 127.0.0.1:80 vers l'extérieur ou bien tu auras une réponse ICMP malformed packet (donc pas émise par 80).
Ethereal c'est bien...

Tomate

nikosaka a écrit :

c'est vrai que pour du spoofing, je vois pas l'interet de se connecter a un port >1024 qui de plus est n'est pas ouvert

j avais un trafic enorme sur lo il y a pas si longtemps : 60Mo en klk heures

j ai l impression ke ca venait du bind chrooté, car la il ne l est plus, et j ai plus rien sur lo (avant je voyais passer un nb important de trafic avec le port 53)

mais la, je trouve pas

---------------
:: Light is Right ::

Tomate

bilbo24 a écrit :

attends je m y mets

---------------
:: Light is Right ::

Tomate

root@tomate:~$ /etc/init.d/apache stop
Stopping web server: apache.
Mon Nov 17 14:52:31
root@tomate:~$ telnet 127.0.0.1 80
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused

comme ca c est clair

mais ....

root@tomate:~$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
14:53:16.556487 127.0.0.1.www > 213.103.109.124.1499: R 0:0(0) ack 1817444353 win 0
0x0000 4500 0028 f801 0000 8006 80e9 7f00 0001 E..(............
0x0010 d567 6d7c 0050 05db 0000 0000 6c54 0001 .gm|.P......lT..
0x0020 5014 0000 7b6b 0000 P...{k..
14:53:17.596450 127.0.0.1.www > 213.103.109.124.1213: R 0:0(0) ack 1036189697 win 0
0x0000 4500 0028 7faa 0000 7f06 fa40 7f00 0001 E..(.......@....
0x0010 d567 6d7c 0050 04bd 0000 0000 3dc3 0001 .gm|.P......=...
0x0020 5014 0000 ab1a 0000 P.......

[:sisicaivrai]

---------------
:: Light is Right ::

bilbo24

homard m'a tué. Ca commence à pincer...
fuser /dev/ppp0 ?

Tomate

bilbo24 a écrit :

homard m'a tué. Ca commence à pincer...
fuser /dev/ppp0 ?

root@tomate:~$ fuser /dev/ppp0
/dev/ppp0: No such file or directory

[:joce]

---------------
:: Light is Right ::

bilbo24

ls /dev/pp*

Tomate

bilbo24 a écrit :

ls /dev/pp*

root@tomate:/dev$ fuser /dev/ppp
/dev/ppp: 18231

moue, ca me dis pas grand chose

---------------
:: Light is Right ::

nikosaka

tomate77 a écrit :

root@tomate:/dev$ fuser /dev/ppp
/dev/ppp: 18231

moue, ca me dis pas grand chose

pourquoi? c'est pas un process id ?

Tomate

nikosaka a écrit :

pourquoi? c'est pas un process id ?

arf oui suis je bete

ca correspond a pppd, ce ki est normal

---------------
:: Light is Right ::

Tomate

voila ce k il reste kan j ai vire presque tous les services :

root@tomate:/dev$ ps faux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.3 1548 960 ? S Nov16 0:03 init
root 2 0.0 0.0 0 0 ? SW Nov16 0:00 [keventd]
root 0 0.0 0.0 0 0 ? SWN Nov16 0:00 [ksoftirqd_CPU0]
root 0 0.0 0.0 0 0 ? SW Nov16 0:09 [kswapd]
root 0 0.0 0.0 0 0 ? SW Nov16 0:00 [bdflush]
root 0 0.0 0.0 0 0 ? SW Nov16 0:00 [kupdated]
root 7 0.0 0.0 0 0 ? SW Nov16 0:00 [jfsIO]
root 8 0.0 0.0 0 0 ? SW Nov16 0:00 [jfsCommit]
root 9 0.0 0.0 0 0 ? SW Nov16 0:00 [jfsSync]
root 98 0.0 0.0 0 0 ? SW Nov16 0:01 [kjournald]
root 99 0.0 0.0 0 0 ? SW Nov16 0:06 [kjournald]
root 224 0.0 0.6 2324 1788 ? S Nov16 0:03 /sbin/klogd
root 17307 0.0 0.5 2196 1360 ? S Nov16 0:00 /usr/sbin/inetd
root 3115 0.0 0.7 3256 1884 ? S Nov16 0:00 /usr/sbin/sshd
root 31606 0.0 1.3 7168 3428 ? S 12:31 0:00 \_ sshd: tomate [priv]
tomate 29472 0.0 1.4 7308 3680 ? S 12:31 0:01 \_ sshd: tomate@pts/0
tomate 32363 0.0 1.0 2708 2736 pts/0 S 12:31 0:00 \_ -bash
root 4541 0.0 1.1 2836 2912 pts/0 S 13:18 0:00 \_ bash
root 16134 0.0 0.5 2564 1500 pts/0 R 15:14 0:00 \_ ps faux
daemon 741 0.0 0.4 1732 1140 ? S Nov16 0:00 /usr/sbin/atd
root 22784 0.0 0.5 1788 1324 ? S Nov16 0:00 /usr/sbin/cron
root 22653 0.0 0.0 0 0 ? SW Nov16 0:00 [UNICORN-SAIF]
root 31044 0.0 0.0 0 0 ? SW Nov16 0:06 [UNICORN-INTR]
root 30297 0.0 0.0 0 0 ? SW Nov16 0:53 [UNICORN-SM00]
root 5342 0.0 0.0 0 0 ? SW Nov16 0:00 [UNICORN-AMU0]
root 18231 0.0 0.6 2436 1616 ? S Nov16 0:00 /usr/sbin/pppd user toto@tele2.fr
root 20871 0.0 0.3 1488 916 tty2 S Nov16 0:00 /sbin/getty 38400 tty2
root 26298 0.0 0.3 1548 912 tty3 S Nov16 0:00 /sbin/getty 38400 tty3
root 5987 0.0 0.3 1544 916 tty4 S Nov16 0:00 /sbin/getty 38400 tty4
root 31990 0.0 0.3 1520 916 tty5 S Nov16 0:00 /sbin/getty 38400 tty5
root 23194 0.0 0.3 1528 916 tty6 S Nov16 0:00 /sbin/getty 38400 tty6
root 18474 0.0 0.3 1528 916 tty1 S Nov16 0:00 /sbin/getty 38400 tty1
root 9354 0.0 0.5 2268 1412 ? S Nov16 0:00 /sbin/syslogd
root 32119 0.0 1.9 11640 4860 ? S 00:04 0:00 /usr/sbin/named
root 24629 0.0 1.9 11640 4860 ? S 00:04 0:00 \_ /usr/sbin/named
root 11681 0.0 1.9 11640 4860 ? S 00:04 0:03 \_ /usr/sbin/named
root 20741 0.0 1.9 11640 4860 ? S 00:04 0:00 \_ /usr/sbin/named
root 13913 0.0 1.9 11640 4860 ? S 00:04 0:00 \_ /usr/sbin/named

Mon Nov 17 15:14:26
root@tomate:/dev$ netstat -aeev
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 0 *:swat *:* LISTEN root 358
tcp 0 0 *:time *:* LISTEN root 355
tcp 0 0 *:discard *:* LISTEN root 352
tcp 0 0 *:daytime *:* LISTEN root 354
tcp 0 0 *:auth *:* LISTEN root 357
tcp 0 0 tomate.homelinux:domain *:* LISTEN root 77970
tcp 0 0 *:ftp *:* LISTEN root 356
tcp 0 0 localhost:953 *:* LISTEN root 77973
tcp 0 0 localhost:6010 *:* LISTEN tomate 115356
tcp6 0 0 *:ssh *:* LISTEN root 912
tcp6 0 0 ip6-localhost:6010 *:* LISTEN tomate 115355
tcp6 0 0 tomate.homelinux.or:ssh tomate.tomate.hom:32791 ESTABLISHEDroot 115334
udp 0 0 *:discard *:* root 353
udp 0 0 *:32793 *:* root 77971
udp 0 0 tomate.homelinux:domain *:* root 77969
udp6 0 0 *:32794 *:* root 77972
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 3 [ ] DGRAM 40434 /dev/log
unix 3 [ ] STREAM CONNECTED 115346
unix 3 [ ] STREAM CONNECTED 115345
unix 2 [ ] DGRAM 77963
unix 2 [ ] DGRAM 1511
unix 2 [ ] DGRAM 260

root@tomate:/dev$ tcpdump -xX -i ppp0 host 127.0.0.1
tcpdump: listening on ppp0
15:15:44.796449 127.0.0.1.www > 213.103.109.124.1426: R 0:0(0) ack 734003201 win 0
0x0000 4500 0028 cfe6 0000 8006 a904 7f00 0001 E..(............
0x0010 d567 6d7c 0050 0592 0000 0000 2bc0 0001 .gm|.P......+...
0x0020 5014 0000 bc48 0000 P....H..
15:15:58.106448 127.0.0.1.www > 213.103.109.124.1335: R 0:0(0) ack 2015428609 win 0
0x0000 4500 0028 c4d1 0000 8006 b419 7f00 0001 E..(............
0x0010 d567 6d7c 0050 0537 0000 0000 7821 0001 .gm|.P.7....x!..
0x0020 5014 0000 7042 0000 P...pB..

:fou:

---------------
:: Light is Right ::

Tomate

bon, en coupant l acces au LAN (j ai debranche le RJ45, merci -+ ), ca continue

---------------
:: Light is Right ::

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[resolu] trafic louche sur ppp0 : residu de ver windows lol

Sujets relatifs
Pb de trafic tres important sur le loopback	Je veux supprimer ma partition windows et étendre la linux
[MDK9.2] alsa & webcam philips... RESOLU :)	Apres install sur nouveau HDD, plus moyen de booter windows
Cherche soft cryptage qui marche sous linux et windows	Réseau entre windows 2000 et windows 98
Réseau entre windows 2000 et windows 98	reboot d'un linux via un windows
windows 2000 vers redhat fraichement instale	démarrage automatique saoulant [resolu]
Plus de sujets relatifs à : [resolu] trafic louche sur ppp0 : residu de ver windows lol

Page générée en 0.131 secondes