Netstat : résultats suspects!

Bonjour,

sur un de mes ordinaeurs, la commande netstat ne retourne :

$ sudo netstat –tulnp
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       
tcp        0      0 localhost:12595         localhost:55642         ESTABLISHED
tcp        0      0 localhost:12546         localhost:55362         ESTABLISHED
tcp        0      0 host01.domain:29646 102.115.120.34.bc:https TIME_WAIT  
tcp        0      0 host01.domain:4662 117.176.186.30:20583    TIME_WAIT  
tcp        0      0 host01.domain:53032 176-139-245-170.ab:4662 TIME_WAIT  
tcp        0      0 host01.domain:ssh 49.88.112.73:58383      ESTABLISHED
tcp        0      0 host01.domain:63234 234-115-dsl.zalasz:5131 TIME_WAIT  
tcp        0      0 host01.domain:11934 pei-201-236-cxcvii:4992 TIME_WAIT  
tcp        0      0 host01.domain:ssh 192.168.0.42:57758      ESTABLISHED
tcp        0      0 host01.domain:4662 123202031057.ctin:45742 TIME_WAIT  
tcp        0      1 host01.domain:ssh 49.88.112.73:21998      FIN_WAIT1  
tcp        0      0 host01.domain:57362 105.102.3.201:26997     TIME_WAIT  
tcp        0      0 host01.domain:54058 176.123.5.89:4725       TIME_WAIT  
tcp        0      0 host01.domain:18082 87-89-253-134.abo:43850 TIME_WAIT  
tcp        0      0 host01.domain:48062 176-152-41-41.abo:42198 TIME_WAIT  
tcp        0      1 host01.domain:4662 27.46.106.69:52218      FIN_WAIT1  
tcp        0      0 host01.domain:18606 host-87-26-160-123:4962 TIME_WAIT  
tcp        0      0 host01.domain:ssh 49.88.112.73:12726      ESTABLISHED
tcp        0      0 host01.domain:50000 gw.domain.:44210 TIME_WAIT  
tcp        0      0 host01.domain:10718 cpe-101-179-33-148:4662 TIME_WAIT  
tcp        0      0 host01.domain:50000 gw.domain.:44224 TIME_WAIT  
tcp        0      0 host01.domain:ssh 49.88.112.73:12658      ESTABLISHED
tcp        0      0 host01.domain:4662 36.132.228.33:3079      TIME_WAIT  
tcp        0      0 localhost:55642         localhost:12595         ESTABLISHED
tcp        0      0 localhost:55362         localhost:12546         ESTABLISHED
tcp        0      0 host01.domain:31538 ec2-52-10-3-114.u:https ESTABLISHED
tcp        0      0 host01.domain:25748 192.229.221.95:http     TIME_WAIT  
tcp6       0      0 192.168.0.12:24800      192.168.0.42:43356      ESTABLISHED
tcp6       0      0 host01:18350          2606:4700:20::ac4:https TIME_WAIT   

Alors l’adresse IP 49.88.112.73 est chinoise et semble blacklistée (https://whatismyip.live/blacklist-check).
Je n’ai jamais configuré d’hôte 192.168.0.42 dans ce réseau local.
De plus, cet hôte ne reconnait pas les autres hôtes du réseau local : la commande ping ne trouve rien.

$ ping cook
PING cook.domain.net (192.168.0.10): 56 data bytes
92 bytes from host01.domain.net (192.168.0.12): Destination Host Unreachable

Je souhaite savoir si cet hôte a été attaqué et si oui, comme retrouver une situation normale. :slight_smile:

Salut,

on dirait que quelqu’un a fait un tunnel SSH sur ta machine (l’IP chinoise) et il doit avoir la main sur ton clavier/souris (port 24800) (Synergy: keyboard/mouse sharing software) - sa passerelle (local - chez lui/elle) doit être 192.168.0.42 et son poste 192.168.0.12.

Pour retrouver une situation normale, je te conseil de réinstaller ta machine - Il/elle a dûe ajouter une autre porte d’entrée dérobée vers/depuis ton poste - Tu peut changer ton mot de passe SSH, mais çà ne changera sûrement pas la situation si il/elle a mis un backdoor.

Tu peut installer rkhunter pour vérifier s’il y a de trojans etc.

Bon courage,
Romain