Depuis quelques temps, dans mes logs apparaissent les infos suivantes:
- Code: Tout sélectionner
www.monsite.ath.cx 193.109.122.50 - - [08/Apr/2006:16:25:48 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.60 - - [09/Apr/2006:19:16:53 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.7 - - [10/Apr/2006:20:39:33 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.18 - - [11/Apr/2006:22:07:12 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.17 - - [12/Apr/2006:23:12:28 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
La commande netstat retourne:
- Code: Tout sélectionner
talyx.monsite.ath.c:ssh pegase.monsite.ath:1543 ESTABLISHED
tcp 0 0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1416 ESTABLISHED
tcp 0 0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1422 ESTABLISHED
tcp 0 0 talyx.monsite.ath:54730 undernet.xs4all.nl:irc ESTABLISHED
tcp 0 0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1501 ESTABLISHED
tcp 0 0 talyx.monsite.ath:54751 unknown.easynews.co:irc ESTABLISHED
tcp 0 0 talyx.monsite.ath.c:ssh pegase.monsite.ath:2925 ESTABLISHED
tcp 0 0 talyx.monsite.ath:54735 zagreb.hr.eu.undern:irc ESTABLISHED
Je ne fais aucun accès au service IRC et pourtant des sessions sont établies.
En cherchant sur le net :
Un autre cas concerne une machine sous Mac OS X Darwin qui a ete
attaquee via une faille de l'outil awstats.pl en version 2.6.2. Le
pirate a installe plusieurs outils dans le repertoire /tmp dont un
sniffer permettant d'espionner le reseau et un proxy IRC nomme
"pxyscand" pour anonymiser ses connexions. Cette machine a d'ailleurs
essentiellement ete utilisee comme proxy IRC.
OS: Linux
Noyau: 2.4.20-37.7.legacysmp
Awstats est installé sur mon serveur; version 6.4
Donc, à priori, pas de faille.
Auriez-vous une idée ??