Ça m’aura bouffer un max de temps et pourtant c’était simple.

Depuis plus d’un an j’étais inquiet de voir des connexions sortant sur mon serveur vers des ports et des adresses inconnues. Donc pour éviter les dégats je listait et dropait ces paquets.

Le deuxième temps de la brasse a été l’utilisation de pctpdump et de auditd pour essayer de coincer le process coupable sans jamais rien obtenir de probant. Bien sur ça m’a poussé à faire un ménage sérieux sur la machine. Et alors que j’ai déjà lu une bonne centaine de fois mes logs …

2025-06-29T01:46:57.611976+02:00 vps kernel: [2367637.155868] IN= OUT=eth0 SRC=137.74.47.15 DST=61.230.109.100 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=62010 DF PROTO=TCP SPT=443 DPT=64105 WINDOW=501 RES=0x00 ACK URGP=0

Je me suis exclamé mékilécon le premier paquet d’un connexion doit avoir les flags SYN,ACK et là je n’ai que des ACK -> ce ne sont donc pas des nouvelles connexions et Conntrack doit se baser sur les séquences et là probablement que l’on a une répétition de l’envoi de l’acquittement d’un paquet.

Donc je ne me suis pas fait poutrer et ma machine n’est pas utilisée pour emm… le monde. Franchement c’est rassurant.