Discussion :

[ZeGuizmo]

Salut à tous,

Je suis en train de mettre en place mes règles de filtrage via iptables, et je log les paquets avant de les jeter (LOG puis DROP).

Là tous mes services fonctionnent, et le serveur jette ce dont il ne veut pas. Je suis satisfait de mes règles.

Par contre, je constate que le serveur remplit littéralement les logs en essayant de s'auto-pinger. Les messages rejetés sont de la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

May 18 10:28:00 XXXXXXXX kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=50973 SEQ=30

Je n'ai changé que le nom en XX... Si je comprends bien, il essaye d'envoyer des pings (ICMP type 8 c'est un ping entrant) sur son localhost. Depuis le localhost. Il fait ça 30 fois, toutes les minutes.

Je ne souhaite pas obtenir la règle iptables qui va m'autoriser cette action, je sais le faire, j'essaye simplement de comprendre pourquoi il fait ça, si c'est bien utile, et si cela ne l'est pas, comment stopper ce truc ?

Le problème c'est que je ne sais pas trop comment m'y prendre. Comment savoir quel est le mécanisme (processus ?) derrière ces messages ?

Merci et bonne journée,

Guiz

[ram-0000]

Si il fait cela 30 fois par minute (1 fois toutes les 2 secondes), cela devrait être assez facile de trouver le coupable : déjà, tu peux commencer par arrêter les services 1 par 1 en continuant à surveiller les logs. Cela donnera une idée de qui génère ce traffic (ou de qui ne le génère pas).

[ZeGuizmo]

Salut,

Merci pour ta réponse rapide. J'ai essayé de couper tous les services un par un (j'en ai pas des masses) sans grand succès. Il me reste sshd (si je le coupe, je suis bon pour un hard reboot ) mais je ne pense pas que ça vienne de lui.

J'ai remarqué en observant les logs que les 30 tentatives s'interrompent parfois. Rarement, mais ça arrive qu'il arrête à un endroit assez aléatoire.

Par ailleurs, deux messages de plus viennent m'embêter Exactement les mêmes que précedemment mais un sur le port 22 (en destination) et un sur le port 953 (pareil) en TCP. Donc respectivement sur le port SSH et sur un port dédié habituellement au DNS (bind). C'est vraiment étrange que ca vienne de mon interface de loopback. Pour ces deux la le timing est moins précis, j'arrive pas a trouver un pattern. Globalement j'ai une redondance de une à trois/quatre minutes.

J'ai aussi fait un petit netstat -tupl, killé les process à la bourrin, que dalle, il continue de s'auto pinger.

N'y a-t-il pas un moyen de tracer le responsable autrement qu'en essayant de tout tuer ? Avec des petits outils genre ethercap ou wireshark ?

Merci de votre aide et bon ap'

Guiz

[ram-0000]

N'y a-t-il pas un moyen de tracer le responsable autrement qu'en essayant de tout tuer ? Avec des petits outils genre ethercap ou wireshark ?

Ethercap, tcpdump ou wireshark ne peuvent dumper que les paquets qui circulent sur le réseau.

Comme tes paquets vont de localhost vers localhost, point de salut de ce côté.

Autre piste, est ce que un serveur X11 est actif sur la machine, si oui, est ce que tu peux passer en mode console.

Autre piste encore, un virus ou autre ?

[ZeGuizmo]

En installant clamav m'est venue une idée lumineuse
Je me suis rappelé que la dernière chose que j'ai essayé d'installer avec yum c'était nagios, et que j'avais eu quelques problèmes.

J'ai vérifié de ce coté là, et le démon nagios n'était pas coupé ! C'était lui, le vilain. En fait je l'avais pas lancé avec "service nagios start", mais à la main pour tester. Et du coup il était pas recensé dans la liste des services démarrés

Bref, un rapide killall nagios m'a sorti d'affaire.

Merci encore pour ton aide et bon après midi,

Guiz