On Tue, 19 Nov 2002 18:52:37 +0100 Zazemoa <[EMAIL PROTECTED]> wrote:
bonsoir > bonsoir, > > ma question n'est pas simple... et est peut etre un peu HS > j'utilise habituellement Gkrellm (une fen�tre qui indique l'heure , la date, > les processus"nb", le nb d'utilisateur, les entr�es et sorties sur ma carte > ethernet, la swap, le CPU, etc...) > > habituellement, les entr�es et sorties de ma carte ethernet lorsque je me > connecte � internet, sans que je surfe sur le net, font des variations entre > 0 et 194 (octets, il me semble...), voire l�g�rement plus (240 parfois...). > > Mais l�, aujourd'hui, ce soir, �a varie de 0~396~438~542~ voire jusqu'� des > pointes de 924 octets � 1.1 Ko... �a varie al�atoirement... > > est ce du au fait que je poss�de, aujourd'hui, une IP que le r�seau p2p comment ca ? vous utilisez edonkey ou un logiciel similaire ? peut importe de toute facon > recherche?... ou, ai je �t� "hack�", et le gentil hacker n'utiliserait que > peu de passage de donn�es (en octets), afin de ne pas trop se faire rep�rer? > je pense plutot � la premi�re raison.... > ma question est alors de savoir, comment puis je rep�rer ce qui cr�� ces > variations ou processus inhabituelles(dans les ports ou ailleurs...), et > ainsi de pouvoir stopper ces donn�es que je ne d�sire pas... > puis je bloquer un port, par une commande, lorsque je le d�sire... je peux > utiliser ipfilter, mais je pr�f�re pas(pour l'instant)... tres bonne idee pour detecter dans un premier temps la reponse de la premiere question. en loguant tout les packets qui arrivent et sortent. C'est la meilleur methode. on remarque deja une certaine pollution des machines windows... > j'ai fais du netstat -a ou -taupen... mais il n'y a rien d'ouvert de > l'ext�rieur.. je n'ai aucun site ouvert ni de processus allant vers le net... un lsof serait surement plus approprie, mais il doit surement avoir mieux. Sinon j'utilise ntop qui est pas mal pour garder un historique et des stats > > lorsque je fais un chkrootkit, j'obtiens ceci (�l�ments choisis...): > > Searching for suspicious files and dirs, it may take a while... > /usr/lib/perl/5.6.1/auto/Crypt/SSLeay/.packlist > /usr/lib/ibm-java/jdk118/bin/linux/native_threads/.extract_args > /usr/lib/ibm-java/jdk118/bin/.java_wrapper /usr/lib/ibm-java/.java_wrapper > /usr/lib/ibm-java/.jre_wrapper > > et > > Checking `sniffer'... eth0 is not promisc sl0 is not promisc > > merci d'avance pour toute info ou aide que vous pourrez me donner... > (si mon courriel pollue[trop Hors Sujet] la liste, envoyez moi quand m�me un > courriel en priv� pour ceux qui souhaiteront m'aider...) > > merci > > patrice > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
