Reprise du message précédent :
bon, en coupant l acces au LAN (j ai debranche le RJ45, merci -+ ), ca continue

en même temps, si ça vient de 127.0.0.1, on pouvait s'en douter !

oui, et en plus ca reponds a ppp0, pas au lan
 
 
bon, mais comment savoir kel servive/process genere ca ??

 
j y comprends rien la

tu peux encore arreter inetd et named ... moi je ne peux pas

Non ton RJ45 n'a rien à voir avec 127.0.0.1.
Le fuser est normal...

Pensez a surveiller les taches de cron. C'est un très bon endroit pour cacher des rootkit et autres joyeuseries de ce genre.
 
Exemple : un tache cron qui tous les jours a 4h27 minutes ouvre une console avec accès root sur le port 1459 pour une durée de 1 minute

named oue, mais j ai deja essaye et ca change rien

Tiens si tu veux, ça sent le spoof blaster non ?
 
http://www.ixus.net/modules.php?op [...] 2&start=30
 
et  
 
http://lists.debian.org/debian-use [...] 01576.html
 
http://lists.debian.org/debian-use [...] 01636.html

mais kan le lan est coupe ca le fait aussi, donc ca viendrai pas de chez moi ??

oki donc ca vient de l exterieur (du net donc )
 
mais c relou kan meme
 
et c est vrai ke c est bizarre ke je genere une reponse mais ke je vois pas le paquet a l origine de cette reponse

honte a moi aussi de ne pas avoir trouve ca avec google

le paquet il arrive de la pile tcp mon gars et puis tout disparait...

 
 
si je reponds a un paquet, c est k un autre est arrive avant
 
sinon, je me recycle en plombier

recycle ton en plombier si tu es online ou vire le rootkit (ouarf) si tu es offline !

 
 
tu dis n importe koi
 
le trafic est causé par un msblast
 
j ai une debian

-+ a posté ici ??? il est revenu ?

 
 
va voir sur bla²@OSA

bilbo24 : bon on s est mal explique tous les 2 je crois
 
http://www.ixus.net/modules.php?op [...] 2&start=45
 
la tout est clair
 
en fait, les paquets ke j envoie sont du a un retour du a une erreur
 
enfin bref, ma debian n est pa sen cause, mais une personne de tele2

non tu n'envoie pas de paquet c'était bien du spoof.
tu rençois sur ton ip publique un paquet spoofé avec l'ip 127.0.0.1 et venant du port 80 pour passer plus facilement.
ça me soulage un peu d'avoir enfin une explication  

oui voila me suis encore emmélé les pinceaux moi
 
bref de bref, on y peut rien et on est pas les seuls d apres ce ke j ai pu lire

Méo je blaguais

 
ouf je vais pas me recycler alors
 
m enfin honte a moi, j aurai pu chercher un peu avant sur google

C'est pas grave de toute façon vu la faible ampleur du spoofing c'est comme du bruit de fond, ça n'altèrera pas ta connexion...
Bon je shutdowne...

nan c sur c est pas grave, mais le pb c est ke ca rempli mes logs et ma base snort
 
du coup, j ai enleve la regle ds snort
 
mais j ai un autre pb : avec bind cette fois (enfin c snort ki rale encore)

je voudraizs bien quon mexplique comment le mec a pu spoofer un packet avec 127.0.0.1 sachant que c pas une ip routable , hein ?
arretez un peu de dire des trolleries

*ou alors c un mec de ton lan*

en coupant le lan (cable debranche) ca continuait

et je suis chez tele2, donc pitetre k ils laissent tout passer
 
ce ke je me demande : ou sont les SYN, vu ke je vois passer ke les ACK

merde javais pas lu la deuxiemes pages de posts loooool
 
 
 
 
 
 
 
je suis tres tres loin