Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 19/06/2013, à 12:17

NuX_o

[Resolu]Intrusions ? comment s'en prémunir ?

Bonjour,

J'ai fais un petit netsat innocent et suis tombé sur ces résultats :

$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:8118          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:47996         0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:57342         0.0.0.0:*               LISTEN     
tcp        0      0 192.168.0.7:58389       213.186.33.20:993       ESTABLISHED
tcp        0      0 192.168.0.7:36410       100.2.116.248:9001      ESTABLISHED
tcp6       0      0 :::80                   :::*                    LISTEN     
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       0      0 2a01:e35:243b:fa8:37936 2a00:1450:400c:c03::993 ESTABLISHED
tcp6       0      0 2a01:e35:243b:fa8:37933 2a00:1450:400c:c03::993 ESTABLISHED
tcp6       1      0 ::1:42937               ::1:631                 CLOSE_WAIT 
tcp6       0      0 2a01:e35:243b:fa8:37935 2a00:1450:400c:c03::993 ESTABLISHED

j'avoue que ça me fait un peu flipper rien qu'à l'idée d'avoir une ou des connexions indésirables.

je vois que le 213.186.33 et le 100.2.116.248 ont établis une connexion avec mon PC mad

pour le premier, ça renvois à ovh... bien que j'ai un compte chez eux je n'ai aucun programme ftp ouvert qui serait connecté à eux... (??)
et la secondes adresse, plus inquiétant :

OrgName: Verizon Online LLC
OrgId: VRIS
Address: 22001 Loudoun County Parkway
City: Ashburn
StateProv: VA
PostalCode: 20147
Country: US
RegDate:
Updated: 2010-08-17
Ref: http://whois.arin.net/rest/org/VRIS 

est blacklisté par certains sites...

J'ai même eu une IP britannique qui avait établit une connexion avec mon PC...

^^

que faire ? big_smile

merci pour votre précieuse aide cool

Dernière modification par NuX_o (Le 20/06/2013, à 06:31)

Hors ligne

#2 Le 19/06/2013, à 12:43

nam1962

Re : [Resolu]Intrusions ? comment s'en prémunir ?

:~$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:5941          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN     
tcp        0      0 192.168.0.19:52732      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:49951      178.255.152.19:5938     ESTABLISHED
tcp        0      0 192.168.0.19:34664      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:56253      193.52.104.60:80        TIME_WAIT  
tcp        0      0 192.168.0.19:34666      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:34663      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:52730      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:51436      173.194.41.68:443       ESTABLISHED
tcp        0      0 192.168.0.19:52747      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:60703      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:34667      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:40278      173.194.34.39:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52740      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52736      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:34665      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:52733      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:60723      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:52743      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52742      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52739      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52749      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:37672      173.194.34.41:80        TIME_WAIT  
tcp        0      0 192.168.0.19:60713      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:60735      199.188.221.4:993       ESTABLISHED
tcp        0      0 192.168.0.19:38071      65.55.172.253:995       TIME_WAIT  
tcp        0      0 192.168.0.19:52729      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:56263      193.52.104.60:80        TIME_WAIT  
tcp        0      0 192.168.0.19:56254      193.52.104.60:80        TIME_WAIT  
tcp        0      0 192.168.0.19:56264      193.52.104.60:80        TIME_WAIT  
tcp        0      0 192.168.0.19:52746      94.124.82.150:80        TIME_WAIT  
tcp        0      0 192.168.0.19:60748      199.188.221.4:993       ESTABLISHED
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       1      0 ::1:36688               ::1:631                 CLOSE_WAIT 

Ca c'est chez moi.
Pas l'impression d'être envahi : c'est en principe moi qui les joins ces gens ?


Mon tuto pour optimiser / finaliser une install : http://forum.ubuntu-fr.org/viewtopic.ph … #p15041961
Xubuntu 14.10 sur portable, 14.04 sur fixe, 14.04 chez mes amis.
Score : 50 convertis IRL (leur ai pas donné le choix, aussi...).
Un jeune site que j'aime bien, qui fait du T-shirt la nouvelle élégance ...bio en plus : http://goudronblanc.com

Hors ligne

#3 Le 19/06/2013, à 14:06

tiramiseb

Re : [Resolu]Intrusions ? comment s'en prémunir ?

Salut,

je vois que le 213.186.33 et le 100.2.116.248 ont établis une connexion avec mon PC

Pas si sûr...

tcp        0      0 192.168.0.7:58389       213.186.33.20:993       ESTABLISHED

Port local 58389 et port distant 993 ? C'est toi qui es connecté au port 993 de ce serveur.
Le port 993, c'est IMAPS. Ne lirais-tu pas tes mails chez OVH par hasard ?

bien que j'ai un compte chez eux je n'ai aucun programme ftp ouvert qui serait connecté à eux

993 ce n'est pas le FTP.
Le FTP, c'est 21. Le FTPS, c'est 990.
Je ne suis même pas sûr qu'OVH autorise le FTPS.


tcp        0      0 192.168.0.7:36410       100.2.116.248:9001      ESTABLISHED

Port local 36410 et port distant 9001, pareil, c'est plutôt le second qui ressemble à un port serveur et le premier qui ressemble à un port client (aléatoire).
Le port 9001 est utilisé par différents trucs, dont Tor. Tu n'utiliserais pas Tor, par hasard ?

Avec une parano inutile comme ça, tu as bien le profil du gars qui utilise Tor wink

Tu trouveras une liste des ports officiels dans le fichier /etc/services de ton ordinateur.
Tu trouveras également une liste de ports officiels + non-officiels là :
http://en.wikipedia.org/wiki/List_of_TC … rt_numbers




Par ailleurs, on ne peut se connecter sur ton PC que sur un port en écoute.
Donc si le port n'est pas présent avec l'état "LISTEN" dans la liste, ça veut dire que ce n'est pas l'autre qui s'est connecté à toi mais le contraire.

Et, finalement, ton adresse IP est 192.168.0.7. Tu as une adresse IP privée. Une telle adresse n'est pas joignable directement sur Internet, sauf si tu as mis une redirection de port sur ton routeur (probablement une box).
Si tu n'as mis aucune règle sur ta box, il n'y a absolument aucun moyen pour quelqu'un d'extérieur à ton réseau de se connecter à ton PC.

Dernière modification par tiramiseb (Le 19/06/2013, à 14:11)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#4 Le 19/06/2013, à 14:09

tiramiseb

Re : [Resolu]Intrusions ? comment s'en prémunir ?

Ah au fait, chez moi c'est similaire à chez nam1962, voire même quasiment deux fois plus long :

sebastien@cao:~$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 127.0.0.1:5002          0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:13419         0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:13420         0.0.0.0:*               LISTEN     
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     
tcp        1      0 192.168.42.43:43196     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44199     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:45546     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:43197     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:45496     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44028     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:35107     74.125.132.189:80       ESTABLISHED
tcp        0      0 127.0.0.1:13419         127.0.0.1:35810         ESTABLISHED
tcp        1      0 192.168.42.43:42454     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:60468     88.191.185.95:10001     ESTABLISHED
tcp        1      0 192.168.42.43:44454     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 127.0.0.1:35810         127.0.0.1:13419         ESTABLISHED
tcp        0      0 192.168.42.43:44254     173.194.40.150:443      ESTABLISHED
tcp        1      0 192.168.42.43:43679     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:50344     173.194.66.103:443      ESTABLISHED
tcp        1      0 192.168.42.43:43601     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 127.0.0.1:13419         127.0.0.1:35812         ESTABLISHED
tcp        1      0 192.168.42.43:44065     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:42505     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44673     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:43140     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44376     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44301     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 127.0.0.1:13419         127.0.0.1:35813         ESTABLISHED
tcp        1      0 192.168.42.43:42982     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 127.0.0.1:35811         127.0.0.1:13419         ESTABLISHED
tcp        1      0 192.168.42.43:44289     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:42587     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 127.0.0.1:35812         127.0.0.1:13419         ESTABLISHED
tcp        1      0 192.168.42.43:44427     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:42984     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44265     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:43198     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:59841     74.125.132.141:443      ESTABLISHED
tcp        1      0 192.168.42.43:44280     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:60435     173.194.78.94:443       ESTABLISHED
tcp        0      0 192.168.42.43:59993     173.194.34.6:443        ESTABLISHED
tcp        1      0 192.168.42.43:45042     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:50791     100.2.116.248:80        ESTABLISHED
tcp        1      0 192.168.42.43:43649     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:39839     173.194.45.40:80        ESTABLISHED
tcp        0      0 127.0.0.1:35813         127.0.0.1:13419         ESTABLISHED
tcp        0      0 127.0.0.1:13419         127.0.0.1:35811         ESTABLISHED
tcp        0      0 192.168.42.43:33676     88.191.185.95:22        ESTABLISHED
tcp        0      0 192.168.42.43:48487     74.125.132.125:5222     ESTABLISHED
tcp        0      0 192.168.42.43:38849     173.194.78.125:5222     ESTABLISHED
tcp        1      0 192.168.42.43:43199     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44562     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44977     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:44521     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:42583     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:43269     72.29.166.157:80        CLOSE_WAIT 
tcp        0      0 192.168.42.43:35106     74.125.132.189:80       ESTABLISHED
tcp        1      0 192.168.42.43:42639     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:45011     72.29.166.157:80        CLOSE_WAIT 
tcp        1      0 192.168.42.43:45623     72.29.166.157:80        CLOSE_WAIT 
tcp6       0      0 :::6566                 :::*                    LISTEN     
tcp6       0      0 :::3689                 :::*                    LISTEN     
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0      0 ::1:631                 :::*                    LISTEN     
tcp6       0      0 ::1:631                 ::1:47286               ESTABLISHED
tcp6       0      0 ::1:47286               ::1:631                 ESTABLISHED

Dernière modification par tiramiseb (Le 19/06/2013, à 14:09)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#5 Le 20/06/2013, à 06:09

NuX_o

Re : [Resolu]Intrusions ? comment s'en prémunir ?

Tout d'abord merci pour ces précisions, j'ai pas mal à apprendre lol

Port local 36410 et port distant 9001, pareil, c'est plutôt le second qui ressemble à un port serveur et le premier qui ressemble à un port client (aléatoire).
Le port 9001 est utilisé par différents trucs, dont Tor. Tu n'utiliserais pas Tor, par hasard ?

Avec une parano inutile comme ça, tu as bien le profil du gars qui utilise Tor wink

Je n'utilise pas Tor, je l'eu utilisé mais plus maintenant... De plus la parano inutile n'existe pas vraiment sur internet, la vigilance n'a rien de pathologique lol loin de moi l'envie de lancer un troll lol

Par ailleurs, on ne peut se connecter sur ton PC que sur un port en écoute.
Donc si le port n'est pas présent avec l'état "LISTEN" dans la liste, ça veut dire que ce n'est pas l'autre qui s'est connecté à toi mais le contraire.

merci smile j'ai de quoi chercher de bonnes lectures pour plancher sur la commande netstat...  mieux comprendre ses réponses.

Et, finalement, ton adresse IP est 192.168.0.7. Tu as une adresse IP privée. Une telle adresse n'est pas joignable directement sur Internet, sauf si tu as mis une redirection de port sur ton routeur (probablement une box).
Si tu n'as mis aucune règle sur ta box, il n'y a absolument aucun moyen pour quelqu'un d'extérieur à ton réseau de se connecter à ton PC.

J'avais une règle de redirection, que j'ai enlevé il y a pas mal de temps...
comment expliquer qu'un site internet puisse connaître mon adresse locale et publique tout en avançant qu'elle ne pourrait potentiellement jamais accéder à mon PC ?
exemple :
http://www.mon-ip.com/adresse-ip-locale.php

merci à vous !!:D

Dernière modification par NuX_o (Le 20/06/2013, à 06:10)

Hors ligne

#6 Le 20/06/2013, à 06:19

tiramiseb

Re : [Resolu]Intrusions ? comment s'en prémunir ?

comment expliquer qu'un site internet puisse connaître mon adresse locale

Ce n'est pas le site internet qui te donne ton adresse IP locale.

Cette page indique « Vous devez avoir le plugin Java et autoriser son exécution. ».

Les applets Java sont des bouts de programmes qui sont téléchargés par ton navigateur et exécutés sur ton ordinateur.
C'est donc ton ordinateur qui affiche cette information.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#7 Le 20/06/2013, à 06:31

NuX_o

Re : [Resolu]Intrusions ? comment s'en prémunir ?

Merci pour ces éclaircissements !

wink
bonne journée !!

Hors ligne

Haut de page ↑