Le mercredi 24 septembre 2003, Gorguth a écrit...
bonjour,
> Depuis qq semaines, les logs de mon fw sont "submergés" par ce message :
> kernel: martian source <mon_ip> from 127.0.0.1, on dev ppp0
> kernel: ll header: 45:00:00:28
Bienvenue au club...mais j'ai pas le "martian source", pourtant le
loging est activé dans le noyau (et c'est pas bien mais bon...)
> Par un tcpdump host 127.0.0.1 -i ppp0, on peut voir une tentative de connec
> toutes les 5 min de 127.0.0.1.80 vers mon IP.
Snort donne un RST-ACK sur ce paquet, donc une réponse à un SYN sur un
port fermé, pensai je, mais mal a propos peut-être. Je suis en train de
chercher sur cette piste mais je ne trouve pas.
> Qn aurait-il une explication rationnelle à fournir à cette nouveauté pas bien
> embétante pour le moment ? Un virus linuxien ? :(
Je pensais à un ping tcp sur un port 80 avec une adresse spoofée, mais
je ne trouve pas de trace de ping tcp, juste des pings icmp un peu avant
de Cyberkit, un truc Windows qui envoie des aa partout...
Je prends également toute tentative d'explication !
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
