Re: [HS] hacké ou p2p?

To: debian-user-french@lists.debian.org
Subject: Re: [HS] hacké ou p2p?
From: Stephane Monlibert <smonlibert@wanadoo.fr>
Date: Tue, 19 Nov 2002 19:23:44 +0100
Message-id: <[🔎] 20021119192344.4a3ec5dd.smonlibert@wanadoo.fr>
In-reply-to: <[🔎] 3D50909B00C97560@mail5.pds.libertysurf.fr>
References: <[🔎] 3D50909B00C97560@mail5.pds.libertysurf.fr>

On Tue, 19 Nov 2002 18:52:37 +0100
Zazemoa <zazemoa@libertysurf.fr> wrote:

bonsoir

> bonsoir,
> 
> ma question n'est pas simple... et est peut etre un peu HS
> j'utilise habituellement Gkrellm (une fenétre qui indique l'heure , la date, 
> les processus"nb", le nb d'utilisateur, les entrées et sorties sur ma carte 
> ethernet, la swap, le CPU, etc...)
> 
> habituellement, les entrées et sorties de ma carte ethernet lorsque je me 
> connecte à internet, sans que je surfe sur le net, font des variations entre 
> 0 et 194 (octets, il me semble...), voire légérement plus (240 parfois...).
> 
> Mais là, aujourd'hui, ce soir, ça varie de 0~396~438~542~ voire jusqu'à des 
> pointes de 924 octets à 1.1 Ko... ça varie aléatoirement...
> 
> est ce du au fait que je posséde, aujourd'hui, une IP que le réseau p2p 

comment ca ? vous utilisez edonkey ou un logiciel similaire ? peut importe de toute facon

> recherche?... ou, ai je été "hacké", et le gentil hacker n'utiliserait que 
> peu de passage de données (en octets), afin de ne pas trop se faire repérer?
> je pense plutot à la premiére raison.... 
> ma question est alors de savoir, comment puis je repérer ce qui créé ces 
> variations ou processus inhabituelles(dans les ports ou ailleurs...), et 
> ainsi de pouvoir stopper ces données que je ne désire pas...
> puis je bloquer un port, par une commande, lorsque je le désire... je peux 
> utiliser ipfilter, mais je préfére pas(pour l'instant)...

tres bonne idee pour detecter dans un premier temps la reponse de la premiere question.
en loguant tout les packets qui arrivent et sortent. C'est la meilleur methode.
on remarque deja une certaine pollution des machines windows...

> j'ai fais du netstat -a ou -taupen... mais il n'y a rien d'ouvert de  
> l'extérieur.. je n'ai aucun site ouvert ni de processus allant vers le net...

un lsof serait surement plus approprie, mais il doit surement avoir mieux.
Sinon j'utilise ntop qui est pas mal pour garder un historique et des stats

> 
> lorsque je fais un chkrootkit, j'obtiens ceci (éléments choisis...):
> 
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/perl/5.6.1/auto/Crypt/SSLeay/.packlist 
> /usr/lib/ibm-java/jdk118/bin/linux/native_threads/.extract_args 
> /usr/lib/ibm-java/jdk118/bin/.java_wrapper /usr/lib/ibm-java/.java_wrapper 
> /usr/lib/ibm-java/.jre_wrapper
> 
> et 
> 
> Checking `sniffer'...   eth0 is not promisc sl0 is not promisc
> 
> merci d'avance pour toute info ou aide que vous pourrez me donner...
> (si mon courriel pollue[trop Hors Sujet] la liste, envoyez moi quand même un 
> courriel en privé pour ceux qui souhaiteront m'aider...)
> 
> merci
> 
> patrice
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

References:
- [HS] hacké ou p2p?
  - From: Zazemoa <zazemoa@libertysurf.fr>

Prev by Date: Re: migration SuSe/Debian
Next by Date: passage en Sid
Previous by thread: [HS] hacké ou p2p?
Next by thread: Re: [HS] hacké ou p2p?
Index(es):
- Date
- Thread