PHPfrance

la communauté d'entraide francophone dédiée au PHP

Connexion internet lente

8 messages   •   Page 1 sur 1
   Outils de sujet
Administrateur PHPfrance
Damien
Administrateur PHPfrance | 1275 Messages

21 août 2005, 11:26

Salut à tous,

J'ai du attraper une sale bestiole, ma connexion à la maison est subitement devenue très lente, et mon PC envoie et reçoie des requêtes TCP étranges.

Voici une capture réseau sur 30 secondes ... (83.197.223.8 correspond à ma machine à ce moment là) :

Code : Tout sélectionner

No. Time Source Destination Protocol Info 1 0.000000 83.197.223.8 83.117.48.48 TCP 2915 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 2 0.502930 83.197.223.8 83.9.87.84 TCP 2918 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 3 1.307617 83.197.223.8 83.229.170.213 TCP 2916 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 4 1.307617 83.197.223.8 83.84.165.122 TCP 2917 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 5 1.307617 83.197.223.8 83.153.92.46 TCP 2919 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 6 2.916992 83.197.223.8 83.12.187.106 TCP 2920 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 7 3.520508 83.197.223.8 83.9.87.84 TCP 2918 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 8 4.325195 83.197.223.8 83.153.92.46 TCP 2919 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 9 4.626953 83.197.223.8 83.197.217.53 TCP 2912 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 10 5.934570 83.197.223.8 83.12.187.106 TCP 2920 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 11 6.035156 83.197.223.8 83.117.48.48 TCP 2915 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 12 7.041016 83.197.223.8 83.230.63.87 TCP 2921 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 13 7.342774 83.197.223.8 83.229.170.213 TCP 2916 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 14 7.342774 83.197.223.8 83.84.165.122 TCP 2917 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 15 8.348633 83.197.223.8 83.80.46.36 TCP 2925 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 16 8.851563 83.197.223.8 83.162.76.157 TCP 2922 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 17 9.455078 83.197.223.8 83.9.87.84 TCP 2918 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 18 9.958008 83.197.223.8 83.230.63.87 TCP 2921 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 19 10.259766 83.197.223.8 83.153.92.46 TCP 2919 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 20 11.265625 83.197.223.8 83.80.46.36 TCP 2925 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 21 11.768555 83.197.223.8 83.162.76.157 TCP 2922 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 22 11.869141 83.197.223.8 83.12.187.106 TCP 2920 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 23 15.993164 83.197.223.8 83.230.63.87 TCP 2921 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 24 16.596680 83.197.223.8 83.26.103.42 TCP 2923 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 25 17.300781 83.197.223.8 83.80.46.36 TCP 2925 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 26 17.803711 83.197.223.8 83.162.76.157 TCP 2922 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 27 18.004883 83.197.223.8 83.94.218.99 TCP 2924 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 28 19.312500 83.197.223.8 83.244.235.150 TCP 2926 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 29 19.312500 83.197.223.8 83.37.33.6 TCP 2928 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 30 19.614258 83.197.223.8 83.26.103.42 TCP 2923 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 31 21.022461 83.197.223.8 83.94.218.99 TCP 2924 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 32 21.525391 83.197.223.8 83.176.120.93 TCP 2927 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 33 21.683594 212.151.133.65 83.197.223.8 ICMP Time-to-live exceeded (Time to live exceeded in transit) 34 22.330078 83.197.223.8 83.244.235.150 TCP 2926 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 35 22.330078 83.197.223.8 83.37.33.6 TCP 2928 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 36 22.330078 83.197.223.8 83.51.76.198 TCP 2932 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 37 23.939453 83.197.223.8 83.225.173.204 TCP 2929 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 38 24.542969 83.197.223.8 83.176.120.93 TCP 2927 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 39 24.829102 212.151.133.65 83.197.223.8 ICMP Time-to-live exceeded (Time to live exceeded in transit) 40 25.347656 83.197.223.8 83.51.76.198 TCP 2932 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 41 25.649414 83.197.223.8 83.26.103.42 TCP 2923 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 42 26.856445 83.197.223.8 83.225.173.204 TCP 2929 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 43 26.957031 83.197.223.8 83.94.218.99 TCP 2924 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 44 27.445313 147.83.38.104 83.197.223.8 TCP 978 > 1034 [PSH, ACK] Seq=0 Ack=0 Win=16590 Len=90 45 27.445313 83.197.223.8 147.83.38.104 TCP 1034 > 978 [PSH, ACK] Seq=0 Ack=90 Win=65535 Len=90 46 27.735352 147.83.38.104 83.197.223.8 TCP 978 > 1034 [ACK] Seq=90 Ack=90 Win=16500 Len=0 47 27.962891 83.197.223.8 83.239.89.140 TCP 2930 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 48 28.264649 83.197.223.8 83.244.235.150 TCP 2926 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 49 28.264649 83.197.223.8 83.37.33.6 TCP 2928 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 50 29.270508 83.197.223.8 83.187.50.57 TCP 2931 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 51 29.773438 83.197.223.8 83.133.107.191 TCP 2933 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420 52 30.477539 83.197.223.8 83.176.120.93 TCP 2927 > 3306 [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1420
J'ai passé un coup d'antivirus et antispywares, ça n'a rien donné.
Mais bon j'utilise cette machine que le week end, où j'ai très peu de temps, donc je ne peux pas pousser mes recherches.

Si quelqu'un sait d'où ça peut venir...

Merci,
Damien.
Mammouth du PHP | 19672 Messages

21 août 2005, 11:44

Ça sent le cheval de Troie ton truc, en tous cas ça sent pas bon :?
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse :axe:
Administrateur PHPfrance
Administrateur PHPfrance | 3131 Messages

21 août 2005, 11:54

3306 c'est le port de MySQL.
Je dirais qu'un simple firewall sur ta machine évitera ce genre de souci en attendant que les anti-spyware & anti-virus se mettent à jour. Si tant est que ce soit un virus, tu n'as pas simplement un client pour MySQL qui se lance automatiquement au démarrage ?
Administrateur PHPfrance
Administrateur PHPfrance | 1275 Messages

21 août 2005, 12:09

Yep, je suis en train d'installer un firewall beaucoup plus restrictif.

Non, pas de client MySQL qui se lance au démarrage, d'ailleurs j'ai viré un maximum de trucs qui se lancent au démarrage, mais ça n'a rien changé la bestiole se lance toujours :-/
Mammouth du PHP | 19672 Messages

21 août 2005, 12:35

:idea: Tu aurais pas par hasard un script de synchronisation entre MySQL sur ta machine et une base extérieure :?:
Enfin ce n'est qu'une idée, mais sait-on jamais :-k
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse :axe:
Administrateur PHPfrance
Administrateur PHPfrance | 1275 Messages

21 août 2005, 13:16

Non, rien du genre.

En tous cas ma connexion fonctionne bien maintenant, avec un firewall restrictif... donc ca venait bien de ces connections étranges.
Mammouth du PHP | 19672 Messages

21 août 2005, 13:27

Mouais, alors c'était probablement un spyware, mais pour le repérer, l'identifier et le détruire, ça va être une autre paire de manches :-k
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse :axe:
HD
Mammouth du PHP | 1181 Messages

21 août 2005, 14:33

spybot search & destroy , adaware , http://www.ravantivirus.com/scan/indexie.php , http://www.secuser.com/antivirus/ , etc.
   Répondre
8 messages   •   Page 1 sur 1
   Outils de sujet