Bonjour,
Sur un serveur Debian, je me rend compte que j’ai un trafic en upload très important (1M/s) , comment connaître l’ip qui éxécute cette upload ? car nous avons peut-être été pirater ?
Merci
Salut
Déjà tu peux regarder quels sont tes ports en écoute par :
Ensuite voir sur quels ports tu as du traffic et avec quelles IP par :
Tu peux aussi regarder dans les logs de tes services.
Tu as un utilitaire très pratique qui est «iftop»
te sort un tableau genre[code] 12.5Kb 25.0Kb 37.5Kb 50.0Kb 62.5Kb
mqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqq
82.66.248.156:www => 72.30.65.55:54297 0b 2.09Kb 564b
<= 0b 427b 112b
82.66.248.156:ssh => 181.57.142.55:55222 1.02Kb 1.47Kb 1.41Kb
<= 208b 208b 263b
82.66.248.156:3962 => 212.27.40.240:domain 0b 56b 30b
<= 0b 87b 48b
82.66.248.156:www => 66.249.65.103:37972 0b 0b 84b
<= 0b 0b 136b
qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
TX: cumm: 9.85KB peak: 12.0Kb rates: 1.02Kb 3.61Kb 2.07Kb
RX: 2.59KB 2.78Kb 208b 722b 559b
TOTAL: 12.4KB 14.7Kb 1.22Kb 4.32Kb 2.62Kb[/code] qui évolue en temps réel avec (ça ne se voit pas ici) des barres t’indiquant le niveau des débits pour chaque IO. Le serveur ici est 82.66.248.156.
Je ne connaissais pas iftop, mais son résultat est quasi le même que jnettop
Merci à tous !
Bah alors, tu es vérolé ou pas ?
Pour l’instant, le seul constat que je peux faire, c’est que quelqu’un exterieure à mon entreprise utilise l’un de nos pc pour faire du téléchargment illicite sur les ports 4662 et 4672 (bien connuent 
).Comment il fait ? ben je suis pas assez calé pour expliquer, mais il s’est introduit par le serveur (Windows server 2003…) utilise le pc d’un colègue pour l’ip et fait le téléchargement via cette IP, en fait pour résumer ,il rentre t il sort comme il veut 
.mais je sais pas comment il fait pour gruger le serveur et ressortir ni vu ni connus.
J’ai tel à FT ,nous avons un contrat Orange business, mais selon les termes de la loi,il refusent de me communiqué l’ip entrante sur le modem, et comme notre contrat ne nous permet pas la gestion du modem, CQFD .
Si il y a Edonkey sur cette machine, tu dois pouvoir le voir et savoir quand ça a été installé. Si il y a un cheval de troie sur cette machine, un scan des ports doit permettre de le trouver…
Acuns soft pour peer to peer d’installés …
Essaye un telnet sur le port 4662 de la machine, tu verras…
Puis regarde les ports ouverts (sous Windows, c’est également netstat je crois bien)