Bonsoir à tous,
    L'histoire commence le jour où voulant me mettre un nom d'hôte correct je découvre qu'à l'issue de la manip, par un cat /var/log/messages, une nouvelle erreur apparaît:

Je recherche donc ce que peut bien être ce ICMP ainsi que le code, n'ayant rien compris aux explications trouvées dans ce forum. Rien ne me choque puisque j'en déduis qu'un des noeuds de free m'informe d'un temps dépassé lors de l'envoi d'un datagramme. Je me dis que j'ai fait une boulette quelque part, sans trouver laquelle, bien entendu.
   Je décide de mettre un firewall   , enfin. C'est shorewall. Voici le cat/etc/shorewall/policy:

Mon messages me donne ceci:

un uptime (fait par hasard, car je testais, je vient de la découvrir:

3 utilisateurs ?? Je veux bien être schizo, mais tout de même.
  Donc, je ne comprends plus rien. Me tromperait-on et ne serais-je donc pas seul?  Tout cela m'inquiète.
  Désolé si la question est redondante, mais même si elle a déjà été abordée, ma compréhension des réponses lues fait que je n'ai pas trouvé ma réponse(certaines semblent s'approcher, mais c'est pour iptable). Normalement il me semble avoir désormais bloqué tout ce qui vient de l'extérieur, mais....je suis un boulet.
   D'avance merci pour votre aide.

Bonsoir,
alors, j'avance tout doucement. D'après ce que j'ai pu lire, ce genre de messages semble arriver de manière "aléatoire"   . Ca  m'etonne, mais bon. Une solution donnée était d'éditer /etc/sysctl.conf et de mettre la ligne

  plus de messages du type précité. Par contre, j'ai maintenant :

au moins 4 fois par minute. Des idées?? Ne serait-ce pas la même chose dit autrement et intercepté par shorewall??
Si je mets dans mon /shorewall/policy  net en REJECT plutôt que DROP, j'arrangerai le bidule ? Merci
note: à ouaip, j'avais essayé d'édité ip_tables comme préconisé ici http://forum.hardware.fr/hardwaref [...] 4576-1.htm sans succès. Je débute dans les firewall

un netstat --inet -lpen donne quel résultat (copier-coller stp) ?

Voilà, voilà, j'était parti chercher de quoi comprendre. Donc voici le résultat de netstat --inet -ipen (je réecris la commande, car mes polices sont à chier et confondre l eti c'est rapide):

 
 et merci.

heu c'est un "elle" ( l ) pas un i, dans netstat --inet -lpen  

 
voilà donc:

Avec mes excuses.

Tu as un serveur Postfix  (SMTP pour les mails sortants) qui tourne sur ta machine ?

sinon, si tu as toujours des connexions "en trop" sur ta machine, essaies un netstat --inet -pen cette fois ci pour voir

Euh, j'ai installé thunderbird y a pas longtemps. Mais à priori non. du moins je crois pas. I have been hacked ?
Edit: je viens de "vérifier" avec un ls /etc  que j'ai un repertoire postfix. Ah et aussi amsn y a pas longtemps non plus (obligé, pressions amicales trop fortes).
En tout cas, ce serait comme le mariage, je serais le dernier prévenu que j'utilise postfix?

bah pas forcément mais bon si tu as pas le souvenir d'avoir installé in serveur mail, faut commencer à chercher pourquoi il est là  (ptet qu'un autre soft l'avait dans ses dépendances et a donc entrainé son  installation, c'est une piste possible ... )

Donc, je file sur la page de postfix pour lui faire bloquer tout courrier entrant. Un netstat -anp |grep 5008 me donne ceci:

Excuse pour le delai, mais à chaque réponse je file chercher de quoi essayer de comprendre ce que tu essaye de me signifier. Alors il y a décalage.
 
Edit: le netstat --ipen -net:

un netstat --inet -pen  plutot, c'est pas possible ?
 
Sinon, à priori, pour l'histoire des paquets ICMP "bizarres" qui arrivaient chez toi, je pense à un routeur de Proxad/Free (car tu es bien chez Free j'imagine, dans l'est, enfin un peu avant l'extrême est qd même ptet même non ?  ) "mal configuré"  ... et un petit malin qui testait qqchose justement sur ce routeur mal configuré ... enfin AMHA

bah le but, avec la commande netstat, c'est de savoir les services qui "écoutent" sur ta machine, et de savoir quelles sont les connexions "actives" en ce moment ... en supposant que tu n'est pas (complètement) hacké et que netstat renvoie bien tout ce qu'elle devrais renvoyer ...
 
Au pire, tu peux aller voir là http://www.chkrootkit.org/ et installer leur "scanner de rootkit" pour voir si t'as pas une saloperie qui tourne sur ta machine (attention, il peut y avoir des fausses alarmes aussi, faut bien connaitre sa machine pour distinguer les vraies alarmes des fausses)

Les joie de l'édit. Je suis quand même un gros boulet. Donc un netstat --inet -pen à 5 min d'intervalle:

Il est fort probable que ma config soit quelque peu ...branlante. Au début, j''étais bien remonté jusqu'à Free, c'est certainement ce qui m'a induit en erreur, j'ai cru à cause du "délaide réponse dépassé", que j'étais mal "synchronisé". Mais bon tout à l'heure, shorewal a intercepté une tentative de scan de port. les adresse du premier netstat --inet -pen sembleraient provenir de google pour la première :183.233.64.in-addr.arpa NS ns3.google.com  
Et l'autre, un peu plus bizarre : 141.235.82.in-addr.arpa NS ns2-rev.proxad.net (Free si je ne m'abuse) mais avec ça: These addresses have been further assigned to users in
Comment:    the RIPE NCC region. Contact information can be found in
Comment:    the RIPE database at http://www.ripe.net/whois
 Mais bon, en newbie, je m'inquiète peut-être. Mais tout cela expliquerait mes déconnexions intempestives. Connexions fantômes (sous gnu/linux ?), suis-je un zombie?  
Encore merci pour le coup de main. Ah, au fait, je m'en débarrasse en coupant la chique à postfix ? et en essyant de mieux configurer ma connexion?

Encore les joies du différé.
MERCI !!  
Je tiens tout le monde au courant. (si j'arrive à entraver juste de quoi vous faire un retour, ce qui n'est pas garanti).

Les scans, c'est monnaie courante avec l'ADSL/le haut débit ... j'y fais plus attention depuis belle lurette, je droppe ... non par contre les ICMP type 11, c'est pas toi qui était visé ... qqun a remarqué un pb dans la config d'un routeur chez free/proxad, et s'est servi de ça pour essayer de deviner certaines choses derrière ... et tu (ainsi que d'autres abonnés de Free dans le même network que toi, à ce moment là) t'es tapé les "restes" de ces manipulations louches ...  Te concernant, faut pas plus s'alarmer pour ça, tu n'étais pas vraiment directement visé ...

Merci de me rassurer. Bon, je n'avais pas peur outre mesure, je ne me sentais pas visé personnellement, tout au plus comme un maillon faible qui aurait amusé une personne à l'autre bout. C'est surtout que ça m'aurait fait ch**r d'e servir de relais et d'enquiquiner d'autres utilisateurs à mon insu. Me voilà rassuré. Je n'emmerde personne, personne ne m'enquiquine (juste mon fichier messages qui grossit de minutes en minutes mais je vais REJECTer tout cela). Encore merci. Je vais qd même installer chkrootkit par curiosité.
A+

Bonjour,
  Des nouvelles: j'ai installé chkrootkit comme conseillé. Attention, vous aurez besoin de la glibc-statit-devel-version sous peine d'envoi d'erreur lc non trouvé.
   Voici le résultat de ./chkrootkit (enfin les dernières lignes:

 A priori rien de bien grave. J'ai aussi retenté un iptables -A INPUT -p icmp -j DROP puis REJECT sans changement. J'ai toujours autant de messages. Re-question bête: ce ne serait pas du flood icmp par hasard? Voilà, c'était surtout pour prévenir de la dépendance de la librairie pour la compilation. Je continue. A bientôt.