J’ai trouvé les mêmes références que fran.b en cherchant un peu sur la même chaine.
Le fait que tu sois en ip dynamique serait un élément qui confirmerait cette hypothèse.
il y a du nouveau et pas des moindres:
l’injection commence à faire effet, mon port 1250 est fermé, et pourtant ils arrivent de partout cette fois ci et pompent des paquets, il n’y a pas que les russes, même de france, usa etc…
et je peux vous assurer que j’ai bien fermé mon port 1250 et pourtant il passe. Ce code est vraiment malicieux, je vois partout swldy-sias qui télécharge sur wireshark, c’est dément.
Je me suis remis derrière mon nat, et le calme est revenu.
faites l’expérience depuis une virtual box si vous voulez constater, maintenant j’ai une merde qui se promène dans mon système et rkunter ne détecte rien, j’ai même fait un md5sum de mon système et surprenant rien n’a bougé.
Je vous dirais si après reboot de la machine cela continue.
quote="nykoos"
l’injection commence à faire effet, mon port 1250 est fermé, et pourtant ils arrivent de partout cette fois ci et pompent des paquets, il n’y a pas que les russes, même de france, usa etc…
(…)[/quote]
[quote]Les envahisseurs : ces êtres étranges venus d’une autre planète. Leur destination : la Terre. Leur but : en faire leur univers. David Vincent les a vus. Pour lui, tout a commencé par une nuit sombre, le long d’une route solitaire de campagne, alors qu’il cherchait un raccourci que jamais il ne trouva. Cela a commencé par une auberge abandonnée et par un homme devenu trop las pour continuer sa route. Cela a commencé par l’atterrissage d’un vaisseau venu d’une autre galaxie. Maintenant, David Vincent sait que les envahisseurs sont là, qu’ils ont pris forme humaine et qu’il lui faut convaincre un monde incrédule que le cauchemar a déjà commencé…[/quote] Parano ! 
Sois plus précis, parceque c’est trop gros pour être crédible, ton histoire: pour ce que j’en connais, un rootkit, on a pas le temps de le voir arriver comme ça juste parcequ’on regarde à ce moment là.
Si tu mets à jour rkhunter et que tu le lances, il te trouvera si un rootkit est présent.
Sauf celui qu’il envoie en faux positif depuis longtemps : Xzibit.
Voir aussi “surveillance”.
Et du coté de tes log, il y a quoi?
Je rejoins les autres : c’est clairement du DHT Bittorrent. La spécification de cette requête particulière se trouve ==> ici <==, ça correspond à 100% (et pour que je dise ça de cette manière, c’est vraiment qu’il n’y a strictement aucun doute possible).
bonjour
ben non là je suis déçu, plus rien ce matin, le calme absolu.
j’ai fait un update de rkhunter et un check et rien à signaler
rien dans les logs, donc le système est propre.
Mais ce qui est le plus étrange, ntop m’ a indiqué jusqu’à 1 ko envoyés à plusieurs adresses via swldy-sias (1250)
(bien envoyé et non recu)
j’ai analysé tous ces paquets (udp et icmp) , rien de significatif, mais c’est l’envoi en masse à différentes adresse qui m’avait surpris, car je le répète: LE PORT 1250 ÉTAIT REFERMÉ, pas de transmission ou bittorrent… de lancé alors pourquoi ce flux ?
ntop est puissant mais en temps réel seulement, pas d’historique. Je vais donc laissé tcpdump avec un filtre de capture sur le port 1250 en permanence pendant plusieurs jours sans ouvrir de client bittorent.
Tu l’as fermé avec un reject ou un drop? Dans le premier cas, à chaque paquet reçu correspond un paquet en réponse et ça te fait un traffic impressionnant. J’avais fait il y a très longtemps (8-9 ans, les tout débuts) un serveur edonkey puis l’avais fermé pour cause de trafic incompatible avec ma bande passante de l’époque. Le résultat avait été catastrophique avec une connexion saturée. Il avait fallu débrancher la ligne et attendre pour changer d’IP.
héhéhe…bien sur que c’est du “peer”…c’est du scan de port sur le 1250…c’est tout…a votre avis …et si le gars t’en voudrais vraiment ca prends du temps mais c’est facilement contournable …
tu devrais utiliser nmap qui donne beaucoup d’info etc…, bref ya pas mal d’outils …faut penser comme les gars qui scannent…peut etre tu lui plait bien looooool
a la base il faudrais savoir ce que tu fais avec ton pc !! dedier au p2p ??
les methodes connues ne manques pas et les manuels le disent explicitement, sois dans ton cas :
mais tu es sous linux et apparement bien “bastiller” 
au faite icmp est bien off ??
non plus. un scan de port ne ressemble pas à ça, en général ça commence par une requete ICMP, pas par de l’UDP. c’est plus du malware, tu as changé d’avis? 
un peu de lecture: cgsecurity.org/Articles/sotm23/index.html
c’est une requête DHT d’un client bittorent, pas du scanning de port. c’est expliqué dans le lien qu’a fourni syam.
nykoss a probablement hérité de l’ip d’un mec qui “seedait” du bittorent, du coup il se recupere des requêtes de leecher pas remis a jour.
[quote=“Grhim”]les manuels le disent explicitement, sois dans ton cas :
Si tu veux citer des trucs qui se rapportent à son cas (sans en fournir la source, soit dit au passage), faudrait peut-être quand même que ça corresponde réellement à son cas non ? On parle d’UDP là, pas de TCP.
Il ne faut pas non plus oublier qu’on peut faire tourner n’importe quel service sur n’importe quel port, donc le numéro de port n’est au mieux qu’une vague indication.
En l’occurrence on a le contenu du paquet, et il ne laisse aucun doute possible. Le fait que « ils arrivent de partout cette fois ci » ne fait que le confirmer, vu que c’est le comportement normal du protocole DHT (plein de pairs qui discutent entre eux et s’échangent les adresses des autres pairs connus).
haaa voila , on commence a etre sur la meme vois 
j’ai penser a ca depuis le debut mais on ne pourrait etre sur que si on connaissais vraiment comment il se sert de son ordi
non, je n’ai pas changer d’avis mais le malware c’est plutot pour windows…il se pourrait aussi qu’il est un fichier video ou autre qui soit tres interressant et essayer de bypasser son systeme pour prendre directement via la puerta del sol ouverte c’est connu aussi …
c’est pourquoi afin de rendre plus difficle les attack etc… de turned off l’icmp …c’est devenue un aspect elementaire de securité pour faire perdre du temps, ca c’est vus aussi pour eviter les attack Ddos…
[vendredi c’est comme lundi]de plus ce n’est pas aujurdhui qu’anonymous veux faire disparaitre de la toile la bourse de new york ?? peut etre on t il besoin de pleins de pc zombie ?? si ca se trouve nykoss a un dualboot …? [/vendredi c’est comme lundi] 
meme chose pour tcp ou udp google.com/search?q=1250udp- … swldy-sias
pour ouvrir et fermer le port 1250, j’avais simplement lancé transmission ‘à vide’ sans tracker,
et vérifier avec la commande nmap -p 1-65535 ip_machine que le port était ouvert ou fermé. Ma connection n’était nullement saturée, quelques paquets ne dépassant pas au total 1ko seulement mais ce dont je suis certain c’est que lorsque ce port était fermé, ces paquets sont passés réception udp, émission icmp.
J’ai effectué du P2P donc fort possible que les ip sont des pairs déjà connectés auparavant.
mon ip est static depuis que je suis en dégroupage total, elle ne change plus.
d’ailleur si vous voulez tester votre environement avec un livecd y’a une distrib faite pour scanner et trouver les malware
REMnux: A Linux Distribution for Reverse-Engineering Malware
[quote]REMnux is a lightweight Linux distribution for assisting malware analysts in reverse-engineering malicious software. The distribution is based on Ubuntu and is maintained by Lenny Zeltser.
[/quote]
non au début tu as écrit:
je pensais pouvoir apprendre des trucs, mais comme tout ce que tu racontes n’a aucun sens, je crois que c’est compromis.
bonne soirée.
nykoos, je t’invites a te rendre sur le wiki ou dans l’espace des trucs et astuces du forum pour apprendre a te servir de netfilter (via iptables), avec lequel tu pourras fermer tes ports correctement.
le petit traffic d’1Ko que tu a vu, c’etait juste une réponse polie de ton ordi à l’ordi qui toquait à la porte pour savoir ce qu’il y avait a partager sur ton ordi. par défaut il me semble que transmission se mets en seed. si tu n’avais aucun fichier, l’ordi en face demande " t’as le bout numéro x du fichier bidule?" et ne tiens reponds poliment: ‘nan je l’ai pas’ c’est probablement ça le traffic que tu as vu.
Anthropo, mon parefeu est déjà opérationnel, et je peux tout bloquer si je le désires, pour jouer le jeux, j’avais fait une redirection de port sur les firewall de 2 routeurs en série, il suffit que je désactive et bye le ‘ptit russe et compagnie’, et ce qu’il faut savoir, un port ne peux être ouvert que de l’intérieur donc si il y a échanges de paquet, il faut impérativement que cela soit à l’initiative d’une instance de la machine, car si aucun programme d’ exécuté, pas possible de communiquer et heureusement, parefeu ou pas parefeu, tu es bien d’accord ?
donc si aucun client torrent n’est lancé, l’échange est impossible
sauf sauf si malware déjà installé.
En fait que fait le scan du pirate
-1 détecter si un port ouvert
-2 si oui, vérifier si un programme malware installé et le contrôler (mode serveur-client)
donc si ma machine a communiqué sans aucun programme de lancé, je peux me posé la question non ? Ainsi Grhim a tout à fait raison d’envisager cette hypothèse.
J’ai lu aussi des infos sur les scans du port 1250, et dans les pays de l’est, ils sont très doués pour cela, mais c’est vrai qu’ils sévissent plutôt sur des systèmes beaucoup plus facile et vulnérable comme sur Windows du grand public.
De toute façon si c’est le cas, ils ne m’ont rien pompé après analyse, simple tentative, merci la solidité Linux.
quote="nykoos"
un port ne peux être ouvert que de l’intérieur donc si il y a échanges de paquet, il faut impérativement que cela soit à l’initiative d’une instance de la machine, car si aucun programme d’ exécuté, pas possible de communiquer et heureusement, parefeu ou pas parefeu, tu es bien d’accord ?
(…)[/quote]Non. Tu confonds réponse et écoute. Cf. Post de fran.: si drop -> aucune réponse, si reject -> réponse “je ne veux pas te répondre”, et ce, indépendament du fait qu’il y ai écoute ou pas sur le port.
mattotop a répondu à ma place.
voici un lien qui t’aidera a comprendre un peu plus:
chiark.greenend.org.uk/~pete … -vs-reject
[quote]
Many people advocate configuring packet filters with a mostly-closed policies that drop packets that they do not know to be safe. This leads to problems for users that are hard for them to diagnose while offering no additional security.
When a packet reaches the firewall, it is run against a set of rules. These rules may rely on existing state (eg. to match existing or related connections) or be stateless (eg. to match destination port 80). The rules determine an action to take for the packet, which can be one of:
ALLOW (aka ACCEPT)
Pemit a packet to traverse the firewall. This would be the behaviour if the firewall was not present.
REJECT
Prohibit a packet from passing. Send an ICMP destination-unreachable back to the source host [unless the icmp would not normally be permitted, eg. if it is to/from the broadcast address].
DROP (aka DENY, BLACKHOLE)
Prohibit a packet from passing. Send no response. [/quote]
@mattotop@Anthropo
merci de rappeler les bases et fondamentaux, je me contentais simplement de vérifier si port ouvert ou fermé, mais ben justement, j’ai des règles iptables sur ma machine, connexions rentrantes: drop sauf celles déjà établies
et tout autorisé en connexions sortantes.
@fran.b
Pour que le phénomène se produise, il faut que j’ai ouvert au moins une fois transmission donc je dois en conclure que la fermeture de celui ci met en reject et non en drop d’ou la continuation des échanges de paquets.
merci à vous tous de vos réponses