Pages : 1
#1 Le 19/06/2013, à 12:17
- NuX_o
[Resolu]Intrusions ? comment s'en prémunir ?
Bonjour,
J'ai fais un petit netsat innocent et suis tombé sur ces résultats :
$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:47996 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:57342 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.7:58389 213.186.33.20:993 ESTABLISHED
tcp 0 0 192.168.0.7:36410 100.2.116.248:9001 ESTABLISHED
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 2a01:e35:243b:fa8:37936 2a00:1450:400c:c03::993 ESTABLISHED
tcp6 0 0 2a01:e35:243b:fa8:37933 2a00:1450:400c:c03::993 ESTABLISHED
tcp6 1 0 ::1:42937 ::1:631 CLOSE_WAIT
tcp6 0 0 2a01:e35:243b:fa8:37935 2a00:1450:400c:c03::993 ESTABLISHEDj'avoue que ça me fait un peu flipper rien qu'à l'idée d'avoir une ou des connexions indésirables.
je vois que le 213.186.33 et le 100.2.116.248 ont établis une connexion avec mon PC 
pour le premier, ça renvois à ovh... bien que j'ai un compte chez eux je n'ai aucun programme ftp ouvert qui serait connecté à eux... (??)
et la secondes adresse, plus inquiétant :
OrgName: Verizon Online LLC
OrgId: VRIS
Address: 22001 Loudoun County Parkway
City: Ashburn
StateProv: VA
PostalCode: 20147
Country: US
RegDate:
Updated: 2010-08-17
Ref: http://whois.arin.net/rest/org/VRIS est blacklisté par certains sites...
J'ai même eu une IP britannique qui avait établit une connexion avec mon PC...
^^
que faire ? 
merci pour votre précieuse aide 
Dernière modification par NuX_o (Le 20/06/2013, à 06:31)
Hors ligne
#2 Le 19/06/2013, à 12:43
- nam1962
Re : [Resolu]Intrusions ? comment s'en prémunir ?
:~$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5941 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.19:52732 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:49951 178.255.152.19:5938 ESTABLISHED
tcp 0 0 192.168.0.19:34664 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:56253 193.52.104.60:80 TIME_WAIT
tcp 0 0 192.168.0.19:34666 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:34663 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:52730 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:51436 173.194.41.68:443 ESTABLISHED
tcp 0 0 192.168.0.19:52747 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:60703 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:34667 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:40278 173.194.34.39:80 TIME_WAIT
tcp 0 0 192.168.0.19:52740 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:52736 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:34665 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:52733 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:60723 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:52743 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:52742 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:52739 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:52749 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:37672 173.194.34.41:80 TIME_WAIT
tcp 0 0 192.168.0.19:60713 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:60735 199.188.221.4:993 ESTABLISHED
tcp 0 0 192.168.0.19:38071 65.55.172.253:995 TIME_WAIT
tcp 0 0 192.168.0.19:52729 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:56263 193.52.104.60:80 TIME_WAIT
tcp 0 0 192.168.0.19:56254 193.52.104.60:80 TIME_WAIT
tcp 0 0 192.168.0.19:56264 193.52.104.60:80 TIME_WAIT
tcp 0 0 192.168.0.19:52746 94.124.82.150:80 TIME_WAIT
tcp 0 0 192.168.0.19:60748 199.188.221.4:993 ESTABLISHED
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 1 0 ::1:36688 ::1:631 CLOSE_WAIT Ca c'est chez moi.
Pas l'impression d'être envahi : c'est en principe moi qui les joins ces gens ?
[ Modéré ]
Hors ligne
#3 Le 19/06/2013, à 14:06
- tiramiseb
Re : [Resolu]Intrusions ? comment s'en prémunir ?
Salut,
je vois que le 213.186.33 et le 100.2.116.248 ont établis une connexion avec mon PC
Pas si sûr...
tcp 0 0 192.168.0.7:58389 213.186.33.20:993 ESTABLISHED
Port local 58389 et port distant 993 ? C'est toi qui es connecté au port 993 de ce serveur.
Le port 993, c'est IMAPS. Ne lirais-tu pas tes mails chez OVH par hasard ?
bien que j'ai un compte chez eux je n'ai aucun programme ftp ouvert qui serait connecté à eux
993 ce n'est pas le FTP.
Le FTP, c'est 21. Le FTPS, c'est 990.
Je ne suis même pas sûr qu'OVH autorise le FTPS.
tcp 0 0 192.168.0.7:36410 100.2.116.248:9001 ESTABLISHED
Port local 36410 et port distant 9001, pareil, c'est plutôt le second qui ressemble à un port serveur et le premier qui ressemble à un port client (aléatoire).
Le port 9001 est utilisé par différents trucs, dont Tor. Tu n'utiliserais pas Tor, par hasard ?
Avec une parano inutile comme ça, tu as bien le profil du gars qui utilise Tor 
Tu trouveras une liste des ports officiels dans le fichier /etc/services de ton ordinateur.
Tu trouveras également une liste de ports officiels + non-officiels là :
http://en.wikipedia.org/wiki/List_of_TC … rt_numbers
Par ailleurs, on ne peut se connecter sur ton PC que sur un port en écoute.
Donc si le port n'est pas présent avec l'état "LISTEN" dans la liste, ça veut dire que ce n'est pas l'autre qui s'est connecté à toi mais le contraire.
Et, finalement, ton adresse IP est 192.168.0.7. Tu as une adresse IP privée. Une telle adresse n'est pas joignable directement sur Internet, sauf si tu as mis une redirection de port sur ton routeur (probablement une box).
Si tu n'as mis aucune règle sur ta box, il n'y a absolument aucun moyen pour quelqu'un d'extérieur à ton réseau de se connecter à ton PC.
Dernière modification par tiramiseb (Le 19/06/2013, à 14:11)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 19/06/2013, à 14:09
- tiramiseb
Re : [Resolu]Intrusions ? comment s'en prémunir ?
Ah au fait, chez moi c'est similaire à chez nam1962, voire même quasiment deux fois plus long :
sebastien@cao:~$ netstat -tna
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 127.0.0.1:5002 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:13419 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:13420 0.0.0.0:* LISTEN
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 1 0 192.168.42.43:43196 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44199 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:45546 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:43197 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:45496 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44028 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:35107 74.125.132.189:80 ESTABLISHED
tcp 0 0 127.0.0.1:13419 127.0.0.1:35810 ESTABLISHED
tcp 1 0 192.168.42.43:42454 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:60468 88.191.185.95:10001 ESTABLISHED
tcp 1 0 192.168.42.43:44454 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 127.0.0.1:35810 127.0.0.1:13419 ESTABLISHED
tcp 0 0 192.168.42.43:44254 173.194.40.150:443 ESTABLISHED
tcp 1 0 192.168.42.43:43679 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:50344 173.194.66.103:443 ESTABLISHED
tcp 1 0 192.168.42.43:43601 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 127.0.0.1:13419 127.0.0.1:35812 ESTABLISHED
tcp 1 0 192.168.42.43:44065 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:42505 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44673 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:43140 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44376 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44301 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 127.0.0.1:13419 127.0.0.1:35813 ESTABLISHED
tcp 1 0 192.168.42.43:42982 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 127.0.0.1:35811 127.0.0.1:13419 ESTABLISHED
tcp 1 0 192.168.42.43:44289 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:42587 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 127.0.0.1:35812 127.0.0.1:13419 ESTABLISHED
tcp 1 0 192.168.42.43:44427 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:42984 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44265 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:43198 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:59841 74.125.132.141:443 ESTABLISHED
tcp 1 0 192.168.42.43:44280 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:60435 173.194.78.94:443 ESTABLISHED
tcp 0 0 192.168.42.43:59993 173.194.34.6:443 ESTABLISHED
tcp 1 0 192.168.42.43:45042 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:50791 100.2.116.248:80 ESTABLISHED
tcp 1 0 192.168.42.43:43649 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:39839 173.194.45.40:80 ESTABLISHED
tcp 0 0 127.0.0.1:35813 127.0.0.1:13419 ESTABLISHED
tcp 0 0 127.0.0.1:13419 127.0.0.1:35811 ESTABLISHED
tcp 0 0 192.168.42.43:33676 88.191.185.95:22 ESTABLISHED
tcp 0 0 192.168.42.43:48487 74.125.132.125:5222 ESTABLISHED
tcp 0 0 192.168.42.43:38849 173.194.78.125:5222 ESTABLISHED
tcp 1 0 192.168.42.43:43199 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44562 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44977 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:44521 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:42583 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:43269 72.29.166.157:80 CLOSE_WAIT
tcp 0 0 192.168.42.43:35106 74.125.132.189:80 ESTABLISHED
tcp 1 0 192.168.42.43:42639 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:45011 72.29.166.157:80 CLOSE_WAIT
tcp 1 0 192.168.42.43:45623 72.29.166.157:80 CLOSE_WAIT
tcp6 0 0 :::6566 :::* LISTEN
tcp6 0 0 :::3689 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 ::1:631 ::1:47286 ESTABLISHED
tcp6 0 0 ::1:47286 ::1:631 ESTABLISHEDDernière modification par tiramiseb (Le 19/06/2013, à 14:09)
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 20/06/2013, à 06:09
- NuX_o
Re : [Resolu]Intrusions ? comment s'en prémunir ?
Tout d'abord merci pour ces précisions, j'ai pas mal à apprendre 
Port local 36410 et port distant 9001, pareil, c'est plutôt le second qui ressemble à un port serveur et le premier qui ressemble à un port client (aléatoire).
Le port 9001 est utilisé par différents trucs, dont Tor. Tu n'utiliserais pas Tor, par hasard ?Avec une parano inutile comme ça, tu as bien le profil du gars qui utilise Tor wink
Je n'utilise pas Tor, je l'eu utilisé mais plus maintenant... De plus la parano inutile n'existe pas vraiment sur internet, la vigilance n'a rien de pathologique loin de moi l'envie de lancer un troll
Par ailleurs, on ne peut se connecter sur ton PC que sur un port en écoute.
Donc si le port n'est pas présent avec l'état "LISTEN" dans la liste, ça veut dire que ce n'est pas l'autre qui s'est connecté à toi mais le contraire.
merci 
j'ai de quoi chercher de bonnes lectures pour plancher sur la commande netstat... mieux comprendre ses réponses.
Et, finalement, ton adresse IP est 192.168.0.7. Tu as une adresse IP privée. Une telle adresse n'est pas joignable directement sur Internet, sauf si tu as mis une redirection de port sur ton routeur (probablement une box).
Si tu n'as mis aucune règle sur ta box, il n'y a absolument aucun moyen pour quelqu'un d'extérieur à ton réseau de se connecter à ton PC.
J'avais une règle de redirection, que j'ai enlevé il y a pas mal de temps...
comment expliquer qu'un site internet puisse connaître mon adresse locale et publique tout en avançant qu'elle ne pourrait potentiellement jamais accéder à mon PC ?
exemple :
http://www.mon-ip.com/adresse-ip-locale.php
merci à vous !!:D
Dernière modification par NuX_o (Le 20/06/2013, à 06:10)
Hors ligne
#6 Le 20/06/2013, à 06:19
- tiramiseb
Re : [Resolu]Intrusions ? comment s'en prémunir ?
comment expliquer qu'un site internet puisse connaître mon adresse locale
Ce n'est pas le site internet qui te donne ton adresse IP locale.
Cette page indique « Vous devez avoir le plugin Java et autoriser son exécution. ».
Les applets Java sont des bouts de programmes qui sont téléchargés par ton navigateur et exécutés sur ton ordinateur.
C'est donc ton ordinateur qui affiche cette information.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#7 Le 20/06/2013, à 06:31
- NuX_o
Re : [Resolu]Intrusions ? comment s'en prémunir ?
Merci pour ces éclaircissements !
bonne journée !!
Hors ligne
Pages : 1