Activité anormale sur mon réseau (Résolu]

Activité anormale sur mon réseau (Résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 02-04-2008 à 20:45:36    

Bonjour,
 
Je viens vers vous pour de l'aide.
Mon PC principal est sous OpenSUSE 10.3, et j'ai conky qui monitor un peu tout sur le bureau. Depuis cet après-midi je constate une activité anormale sur ma carte réseau avec des pointes à 9500 ko/s par moment (en down) alors que normalement je ne devrais avoir aucune activité.
 
J'ai rebooté il y a 40 minutes et d'après conky, j'aurais téléchargé 2.69 Go de données. Bizarrement l'espace disque présent sur ce PC et le reste du réseau local n'a apparemment pas varié.
 
Comment pourrais-je vérifier que ce n'est pas conky qui débloque et que j'ai bien une activité anormale?
Et surtout, comment pourrais-je traquer cette activité pour voir où va ce que je téléchargerais et d'où vient le problème?
 
Merci d'avance


Message édité par Arcord le 07-04-2008 à 00:20:44
Reply

Marsh Posté le 02-04-2008 à 20:45:36   

Reply

Marsh Posté le 02-04-2008 à 20:46:16    

ifconfig devrait te dire si il y a réellement du traffic sur ton interface réseau. En admettant qu'il ne soit pas atteint également, ce qui serait possible si tu t'es fait rootkitter.


Message édité par Mjules le 02-04-2008 à 20:46:52

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 02-04-2008 à 20:49:00    

- donnes nous le résultats de la commande "netstat -laptnu"
- un coup de "ps aux" aussi
- puis sysctl net.ipv4.ip_froward
et au final jette un coup d'oeil avec wireshark pour foir réellement ce qui passe par ton interface réseau


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 02-04-2008 à 20:58:49    

Alors d'après ifconfig j'ai reçu plus de 4Go (oui, 4 Go maintenant) et envoyé 142 Mo. Par contre ifconfig ne permet pas d'avoir le transfert instantané (ou alors je n'ai pas vu où)
 
Voici la sortie de netstat -laptnu

Code :
  1. *Connexions Internet actives (serveurs et établies)
  2. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
  3. tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      3545/smbd
  4. tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3133/portmap
  5. tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      3372/cupsd
  6. tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      3690/master
  7. tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      3545/smbd
  8. tcp        0      0 192.168.5.2:58278       130.57.4.24:80          ESTABLISHED 13380/firefox-bin
  9. tcp        0      0 192.168.5.2:49377       192.168.5.4:445         ESTABLISHED -
  10. tcp        0      0 :::7634                 :::*                    LISTEN      2338/hddtemp
  11. tcp        0      0 :::22                   :::*                    LISTEN      3434/sshd
  12. tcp        0      0 ::1:631                 :::*                    LISTEN      3372/cupsd
  13. tcp        0      0 ::1:25                  :::*                    LISTEN      3690/master
  14. udp        0      0 0.0.0.0:32768           0.0.0.0:*                           3134/avahi-daemon:
  15. udp        0      0 192.168.5.2:137         0.0.0.0:*                           3056/nmbd
  16. udp        0      0 0.0.0.0:137             0.0.0.0:*                           3056/nmbd
  17. udp        0      0 192.168.5.2:138         0.0.0.0:*                           3056/nmbd
  18. udp        0      0 0.0.0.0:138             0.0.0.0:*                           3056/nmbd
  19. udp        0      0 0.0.0.0:68              0.0.0.0:*                           2889/dhcpcd
  20. udp        0      0 0.0.0.0:5353            0.0.0.0:*                           3134/avahi-daemon:
  21. udp        0      0 0.0.0.0:111             0.0.0.0:*                           3133/portmap
  22. udp        0      0 0.0.0.0:631             0.0.0.0:*                           3372/cupsd
  23. udp        0      0 192.168.5.2:123         0.0.0.0:*                           3617/ntpd
  24. udp        0      0 127.0.0.1:123           0.0.0.0:*                           3617/ntpd
  25. udp        0      0 0.0.0.0:123             0.0.0.0:*                           3617/ntpd
  26. udp        0      0 :::123                  :::*                                3617/ntpd


 
sysctl net.ipv4.ip_forward est égal à 0

Reply

Marsh Posté le 02-04-2008 à 21:08:30    

Si ton linux ne s'est pas fait rootkitté, tu n'as absolument rien [:spamafote]
Tu as juste deux connexions réseau :
- une avec  www.opensuse.org : tu télécharges quelques chose sur ce site ?
- et une autre sur 192.168.5.4, à priori ca serait un serveur de fichier sur ton LAN. Ca te parle, tu fais quoi avec cette machine ?


Message édité par o'gure le 02-04-2008 à 21:11:13

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 02-04-2008 à 21:16:45    

Je n'avais aucun téléchargement en cours.
192.168.5.4 correspond bien à mon serveur de fichiers. Comme le taux de transfert (jusqu'à 9500 ko/s) ne pouvait correspondre qu'à un échange sur le lan, j'ai démonté tous mes partages => plus aucune activité suspecte visible.
 
Je vais vérifier sur le serveur de fichiers si rien de cloche de son côté

Reply

Marsh Posté le 02-04-2008 à 21:19:40    

Ben a priori je dirais que tu as encore une connexion avec lui qui est faite, et ca doit correspondre à ce traffic de 9500ko/s [:spamafote]
 
Tu n'as qu'à débranché le lien du serveur de fichier pour t'en assurer.


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 02-04-2008 à 21:30:07    

Effectivement, dès que je débranche le lien du serveur de fichier je n'ai plus aucune activité sur le réseau.
J'ai vérifié (netstat -laptnu sur le serveur) et la seule connection active est vers le PC que j'utilise en ce moment. Aucune autre connection présente.
ifconfig et ps aux ne montrent rien d'anormal sur le serveur.
 
Donc à priori je n'ai rien. Toutefois je m'interroge sur le pourquoi de ces transferts de mon serveur vers mon PC... :pt1cable:  
 
Merci à vous 2 :hello:

Reply

Marsh Posté le 02-04-2008 à 21:47:15    

des mises à jours qui se downloadent en fond ?


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 02-04-2008 à 21:51:53    

Du serveur de fichiers a son poste de travail [:opus dei]

Message cité 1 fois
Message édité par o'gure le 02-04-2008 à 21:52:01

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 02-04-2008 à 21:51:53   

Reply

Marsh Posté le 02-04-2008 à 21:54:34    

o'gure a écrit :

Du serveur de fichiers a son poste de travail [:opus dei]

 

qui n'a pas de mirroir local chez lui :??:


Message édité par black_lord le 02-04-2008 à 21:54:46

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 02-04-2008 à 22:03:11    

Nan nan, je n'ai absolument aucun mirroir et aucune tâche automatisée à partir de mon serveur de fichier.
Je suis distrait mais tout de même, j'y aurais pensé sinon... :pt1cable:

Reply

Marsh Posté le 04-04-2008 à 21:19:42    

beagle qui indexe des fichiers sur ton autre machine ?
 


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 07-04-2008 à 00:22:50    

roscocoltran a écrit :

beagle qui indexe des fichiers sur ton autre machine ?
 


 
Oh punaise!
 
 :whistle:  
 
Bon, euh...
Si on me cherche je suis très loin. J'ai honte...
 
 
L'aspect positif c'est que j'aurai au moins appris quelques commandes de bases grace à ça. :o

Reply

Marsh Posté le 07-04-2008 à 09:23:34    

[:shay]


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 07-04-2008 à 17:02:48    

y'a vraiment des gens qui utilisent ces trucs d'indexation :??:


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 07-04-2008 à 17:57:36    

Installé par défaut avec OpenSUSE la première fois que j'ai essayé cette distribution. Et c'est vrai qu'à l'usage c'est assez pratique quand on a plein de fichiers différents pas forcément bien classés depuis des années.

Reply

Marsh Posté le 07-04-2008 à 18:33:11    

black_lord a écrit :

y'a vraiment des gens qui utilisent ces trucs d'indexation :??:


au boulot, on a un dossier partagé où sont stockés nos courrier et on indexe avec regain qui fait ça bien. C'est assez pratique.


Message édité par Mjules le 07-04-2008 à 18:33:19

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-04-2008 à 20:02:11    

je dois être un vieux con alors :/


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 07-04-2008 à 20:28:11    

black_lord a écrit :

je dois être un vieux con alors :/


oh oui un vieux con :love:


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 07-04-2008 à 20:39:03    

black_lord a écrit :

je dois être un vieux con alors :/


je ne crois pas. Pour ma part, je n'en ai pas l'utilité chez moi. C'est juste que dans un environnement où on doit trouver des docs qu'on a pas rangé soi même voire pas rangé du tout, ça a une utilité certaine.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed