Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3238 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  invalid ICMP type 11 [ça avance]

 
 


Dernière réponse
Sujet : invalid ICMP type 11 [ça avance]
le_courtois Bonjour,
  Des nouvelles: j'ai installé chkrootkit comme conseillé. Attention, vous aurez besoin de la glibc-statit-devel-version sous peine d'envoi d'erreur lc non trouvé.
   Voici le résultat de ./chkrootkit (enfin les dernières lignes:

Checking `sniffer'... eth1: PF_PACKET(/sbin/dhclient)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never logged from lastlog!
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         4977 tty7   /etc/X11/X -nolisten tcp :0 -auth /var/run/xauth/A:0-tXASe7
chkutmp: nothing deleted


 A priori rien de bien grave. J'ai aussi retenté un iptables -A INPUT -p icmp -j DROP puis REJECT sans changement. J'ai toujours autant de messages. Re-question bête: ce ne serait pas du flood icmp par hasard? Voilà, c'était surtout pour prévenir de la dépendance de la librairie pour la compilation. Je continue. A bientôt.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
le_courtois Bonjour,
  Des nouvelles: j'ai installé chkrootkit comme conseillé. Attention, vous aurez besoin de la glibc-statit-devel-version sous peine d'envoi d'erreur lc non trouvé.
   Voici le résultat de ./chkrootkit (enfin les dernières lignes:

Checking `sniffer'... eth1: PF_PACKET(/sbin/dhclient)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never logged from lastlog!
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         4977 tty7   /etc/X11/X -nolisten tcp :0 -auth /var/run/xauth/A:0-tXASe7
chkutmp: nothing deleted


 A priori rien de bien grave. J'ai aussi retenté un iptables -A INPUT -p icmp -j DROP puis REJECT sans changement. J'ai toujours autant de messages. Re-question bête: ce ne serait pas du flood icmp par hasard? Voilà, c'était surtout pour prévenir de la dépendance de la librairie pour la compilation. Je continue. A bientôt.
le_courtois Merci de me rassurer. Bon, je n'avais pas peur outre mesure, je ne me sentais pas visé personnellement, tout au plus comme un maillon faible qui aurait amusé une personne à l'autre bout. C'est surtout que ça m'aurait fait ch**r d'e servir de relais et d'enquiquiner d'autres utilisateurs à mon insu. Me voilà rassuré. Je n'emmerde personne, personne ne m'enquiquine (juste mon fichier messages qui grossit de minutes en minutes mais je vais REJECTer tout cela). Encore merci. Je vais qd même installer chkrootkit par curiosité.
A+
Zzozo Les scans, c'est monnaie courante avec l'ADSL/le haut débit ... j'y fais plus attention depuis belle lurette, je droppe ... non par contre les ICMP type 11, c'est pas toi qui était visé ... qqun a remarqué un pb dans la config d'un routeur chez free/proxad, et s'est servi de ça pour essayer de deviner certaines choses derrière ... et tu (ainsi que d'autres abonnés de Free dans le même network que toi, à ce moment là) t'es tapé les "restes" de ces manipulations louches ...  Te concernant, faut pas plus s'alarmer pour ça, tu n'étais pas vraiment directement visé ...
le_courtois Encore les joies du différé.
MERCI !!  
Je tiens tout le monde au courant. (si j'arrive à entraver juste de quoi vous faire un retour, ce qui n'est pas garanti).
le_courtois Les joie de l'édit. Je suis quand même un gros boulet. Donc un netstat --inet -pen à 5 min d'intervalle:

Proto Recv-Q Send-Q Local Address               Foreign Address             State       Utilisatr  Inode      PID/Program name
tcp        0      0 82.235.141.238:58978        130.117.119.101:80          TIME_WAIT   0          0          -
tcp        0      0 82.235.141.238:55910        64.233.183.104:80           ESTABLISHED 501        60067      6246/mozilla-bin
tcp        0      0 82.235.141.238:58655        64.233.183.99:80            ESTABLISHED 501        58859      6246/mozilla-bin


Il est fort probable que ma config soit quelque peu ...branlante. Au début, j''étais bien remonté jusqu'à Free, c'est certainement ce qui m'a induit en erreur, j'ai cru à cause du "délaide réponse dépassé", que j'étais mal "synchronisé". Mais bon tout à l'heure, shorewal a intercepté une tentative de scan de port. les adresse du premier netstat --inet -pen sembleraient provenir de google pour la première :183.233.64.in-addr.arpa NS ns3.google.com  
Et l'autre, un peu plus bizarre : 141.235.82.in-addr.arpa NS ns2-rev.proxad.net (Free si je ne m'abuse) mais avec ça: These addresses have been further assigned to users in
Comment:    the RIPE NCC region. Contact information can be found in
Comment:    the RIPE database at http://www.ripe.net/whois
 Mais bon, en newbie, je m'inquiète peut-être. Mais tout cela expliquerait mes déconnexions intempestives. Connexions fantômes (sous gnu/linux ?), suis-je un zombie?  
Encore merci pour le coup de main. Ah, au fait, je m'en débarrasse en coupant la chique à postfix ? et en essyant de mieux configurer ma connexion?
Zzozo bah le but, avec la commande netstat, c'est de savoir les services qui "écoutent" sur ta machine, et de savoir quelles sont les connexions "actives" en ce moment ... en supposant que tu n'est pas (complètement) hacké et que netstat renvoie bien tout ce qu'elle devrais renvoyer ...
 
Au pire, tu peux aller voir là http://www.chkrootkit.org/ et installer leur "scanner de rootkit" pour voir si t'as pas une saloperie qui tourne sur ta machine (attention, il peut y avoir des fausses alarmes aussi, faut bien connaitre sa machine pour distinguer les vraies alarmes des fausses)
Zzozo un netstat --inet -pen  plutot, c'est pas possible ?
 
Sinon, à priori, pour l'histoire des paquets ICMP "bizarres" qui arrivaient chez toi, je pense à un routeur de Proxad/Free (car tu es bien chez Free j'imagine, dans l'est, enfin un peu avant l'extrême est qd même ptet même non ? [:anathema]  ) "mal configuré"  ... et un petit malin qui testait qqchose justement sur ce routeur mal configuré ... enfin AMHA
le_courtois Donc, je file sur la page de postfix pour lui faire bloquer tout courrier entrant. Un netstat -anp |grep 5008 me donne ceci:

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      5327/master
unix  2      [ ACC ]     STREAM     LISTENING     12921  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  2      [ ACC ]     STREAM     LISTENING     17257  6131/gnome-vfs-daem /home/gilles/tmp/orbit-gilles/linc-17f3-0-554146722ff4a
unix  2      [ ACC ]     STREAM     LISTENING     13125  5669/gam_server     @/tmp/fam-gilles-
unix  2      [ ACC ]     STREAM     LISTENING     17225  6132/evolution-alar /home/gilles/tmp/orbit-gilles/linc-17f4-0-414235bbe7acd
unix  2      [ ACC ]     STREAM     LISTENING     11825  5327/master         private/lmtp
unix  3      [ ]         STREAM     CONNECTE      17840  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  3      [ ]         STREAM     CONNECTE      17282  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  3      [ ]         STREAM     CONNECTE      17259  5652/gconfd-2
unix  3      [ ]         STREAM     CONNECTE      17256  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  3      [ ]         STREAM     CONNECTE      17255  6131/gnome-vfs-daem
unix  3      [ ]         STREAM     CONNECTE      17252  5669/gam_server     @/tmp/fam-gilles-
unix  3      [ ]         STREAM     CONNECTE      17251  6131/gnome-vfs-daem
unix  3      [ ]         STREAM     CONNECTE      17250  4680/dbus-daemon-1  /var/run/dbus/system_dbus_socket
unix  3      [ ]         STREAM     CONNECTE      17224  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  3      [ ]         STREAM     CONNECTE      17125  6126/krandrtray
unix  3      [ ]         STREAM     CONNECTE      17119  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  3      [ ]         STREAM     CONNECTE      16737  5652/gconfd-2       /home/gilles/tmp/orbit-gilles/linc-1614-0-4b38c8025fca5
unix  2      [ ]         STREAM                   11125  4965/X


Excuse pour le delai, mais à chaque réponse je file chercher de quoi essayer de comprendre ce que tu essaye de me signifier. Alors il y a décalage.
 
Edit: le netstat --ipen -net:

Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       Utilisatr  Inode      PID/Program name
tcp        0      0 82.235.141.238:57848        64.233.183.104:80           ESTABLISHED 501        56100      6246/mozilla-bin
tcp        0      0 82.235.141.238:57851        64.233.183.104:80           ESTABLISHED 501        56114      6246/mozilla-bin
tcp        0      0 82.235.141.238:46865        130.117.119.101:80          TIME_WAIT   0          0    
Zzozo bah pas forcément mais bon si tu as pas le souvenir d'avoir installé in serveur mail, faut commencer à chercher pourquoi il est là  (ptet qu'un autre soft l'avait dans ses dépendances et a donc entrainé son  installation, c'est une piste possible ... )
le_courtois Euh, j'ai installé thunderbird y a pas longtemps. Mais à priori non. du moins je crois pas. I have been hacked ?
Edit: je viens de "vérifier" avec un ls /etc  que j'ai un repertoire postfix. Ah et aussi amsn y a pas longtemps non plus (obligé, pressions amicales trop fortes).
En tout cas, ce serait comme le mariage, je serais le dernier prévenu que j'utilise postfix?
Zzozo sinon, si tu as toujours des connexions "en trop" sur ta machine, essaies un netstat --inet -pen cette fois ci pour voir
Zzozo Tu as un serveur Postfix  (SMTP pour les mails sortants) qui tourne sur ta machine ?
le_courtois :D  
voilà donc:

[root@cer51-2-82-235-141-238 gilles]# netstat --inet -lpen
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       Utilisatr  Inode      PID/Program name
tcp        0      0 127.0.0.1:10026             0.0.0.0:*                   LISTEN      0          11862      5327/master
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      0          6614       2460/portmap
tcp        0      0 127.0.0.1:5335              0.0.0.0:*                   LISTEN      65534      11198      5008/mDNSResponder
tcp        0      0 0.0.0.0:631                 0.0.0.0:*                   LISTEN      0          9593       4268/cupsd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      0          11752      5327/master
udp        0      0 0.0.0.0:68                  0.0.0.0:*                               0          6874       3537/dhclient
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               65534      17812      5008/mDNSResponder
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               0          6613       2460/portmap
udp        0      0 0.0.0.0:631                 0.0.0.0:*                               0          9594       4268/cupsd

Avec mes excuses.
Zzozo heu c'est un "elle" ( l ) pas un i, dans netstat --inet -lpen  ;)
le_courtois Voilà, voilà, j'était parti chercher de quoi comprendre. Donc voici le résultat de netstat --inet -ipen (je réecris la commande, car mes polices sont à chier et confondre l eti c'est rapide):

Table d'interfaces noyau
eth1      Link encap:Ethernet  HWaddr 00:40:F4:9B:89:67
          inet adr:82.235.141.238  Bcast:82.235.141.255  Masque:255.255.255.0
          adr inet6: fe80::240:f4ff:fe9b:8967/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3296 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2747 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:2369325 (2.2 MiB)  TX bytes:422654 (412.7 KiB)
          Interruption:11 Adresse de base:0xef00
 
lo        Link encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:18 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:974 (974.0 b)  TX bytes:974 (974.0 b)

 
 et merci.
Zzozo un netstat --inet -lpen donne quel résultat (copier-coller stp) ?
le_courtois Bonsoir,
alors, j'avance tout doucement. D'après ce que j'ai pu lire, ce genre de messages semble arriver de manière "aléatoire"  :heink: . Ca  m'etonne, mais bon. Une solution donnée était d'éditer /etc/sysctl.conf et de mettre la ligne

net.ipv4.icmp_ignore_bogus_error_responses = 1


  plus de messages du type précité. Par contre, j'ai maintenant :

Mar 27 20:55:51 cer51-2-82-235-141-238 kernel: Shorewall:net2all:DROP:IN=eth1 OUT= MAC= SRC=82.235.141.238 DST=82.235.xxx.xxx LEN=155 TOS=0x00 PREC=0x00 TTL=64 ID=36 DF PROTO=UDP SPT=631 DPT=631 LEN=135

au moins 4 fois par minute. Des idées?? Ne serait-ce pas la même chose dit autrement et intercepté par shorewall??
Si je mets dans mon /shorewall/policy  net en REJECT plutôt que DROP, j'arrangerai le bidule ? Merci
note: à ouaip, j'avais essayé d'édité ip_tables comme préconisé ici http://forum.hardware.fr/hardwaref [...] 4576-1.htm sans succès. Je débute dans les firewall
le_courtois Bonsoir à tous,
    L'histoire commence le jour où voulant me mettre un nom d'hôte correct je découvre qu'à l'issue de la manip, par un cat /var/log/messages, une nouvelle erreur apparaît:

Mar 26 20:22:42 localhost kernel: 213.228.13.254 sent an invalid ICMP type 11, code 0 error to a broadcast: 82.235.141.255 on eth1

Je recherche donc ce que peut bien être ce ICMP ainsi que le code, n'ayant rien compris aux explications trouvées dans ce forum. Rien ne me choque puisque j'en déduis qu'un des noeuds de free m'informe d'un temps dépassé lors de l'envoi d'un datagramme. Je me dis que j'ai fait une boulette quelque part, sans trouver laquelle, bien entendu.
   Je décide de mettre un firewall  :D , enfin. C'est shorewall. Voici le cat/etc/shorewall/policy:

#SOURCE         DEST            POLICY          LOG             LIMIT:BURST
#                                               LEVEL
loc     net     ACCEPT
loc     fw      ACCEPT
fw      loc     ACCEPT
fw      net     ACCEPT
net     all     DROP    info
all     all     REJECT  info

Mon messages me donne ceci:

Mar 26 20:24:46 localhost kernel: Shorewall:net2all:DROP:IN=eth1 OUT= MAC= SRC=82.235.141.238 DST=82.235.141.255 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=105 DF PROTO=UDP SPT=631 DPT=631 LEN=112
Mar 26 20:24:46 localhost kernel: 213.228.13.254 sent an invalid ICMP type 11, code 0 error to a broadcast: xx.235.xxx.xxx on eth1

un uptime (fait par hasard, car je testais, je vient de la découvrir:

20:51:18 up  1:21,  3 users,  load average: 3.02, 2.86, 2.50

3 utilisateurs ?? Je veux bien être schizo, mais tout de même.
  Donc, je ne comprends plus rien. Me tromperait-on et ne serais-je donc pas seul?  Tout cela m'inquiète.
  Désolé si la question est redondante, mais même si elle a déjà été abordée, ma compréhension des réponses lues fait que je n'ai pas trouvé ma réponse(certaines semblent s'approcher, mais c'est pour iptable). Normalement il me semble avoir désormais bloqué tout ce qui vient de l'extérieur, mais....je suis un boulet.
   D'avance merci pour votre aide.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)