Bonjour, je trouve depuis quelques temps que ma connexion internet est relativement lente. J'ai utilisé iftop et la commande m'indique qu'il y a énormément de connexions entre mon PC et le monde extérieur. Pour info, je suis sous Mageia 5, KDE 4.14.5. Ceci est un exemple de ce que j'obtiens avec iftop
localhost.localdomain => 144.76.166.147 0b 192b 60b
<= 0b 1,53kb 500b
localhost.localdomain => client-47-3.cactus-net.ru 240b 240b 216b
<= 256b 518b 346b
localhost.localdomain => 83.128.134.164 240b 96b 24b
<= 1,42kb 621b 155b
localhost.localdomain => thisis.feralhosting.com 208b 125b 31b
<= 1,02kb 531b 154b
localhost.localdomain => 93-92-206-64.client.airnet.ru 0b 48b 72b
<= 0b 551b 787b
localhost.localdomain => 1.239.71.174 208b 125b 31b
<= 640b 416b 104b
localhost.localdomain => ns0.fdn.org 292b 115b 72b
<= 1,01kb 311b 188b
localhost.localdomain => cm125-59-4-122.hkcable.com.hk 0b 83b 42b
<= 432b 342b 158b
localhost.localdomain => CPEbc4dfb5c0063-CMbc4dfb5c0060.cpe.ne 0b 0b 72b
<= 208b 406b 648b
Bref, même si le flux de données est très faible, je suis étonné du nombre de connexions entre ces gens et mon PC. Y a-t-il un moyen de connaitre quelle application communique avec ces gens ? Pour infos, ces connexions restent même quand je ferme firefox, ktorrent et kmail. Je peux fournir d'autres infos qui permettraient de comprendre ce qui se passe.
PS: je ne sais pas si j'ai le droit de divulguer les adresses IP des gens avec qui mon PC communique. Si je n'en ai pas le droit, merci de les masquer.
# netstat
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Avec des options comme :
netstat -untap
donne beaucoup d'informations sur les communications entretenues par une machine et les programmes qui y participent.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: netstat
Posté par pamputt . Évalué à 3.
En effet cette commande donne pas mal d'informations. Le problème c'est qu'en la lançant, toutes les connexions semblent normales ; je ne retrouve pas les connexions vers les IPs que je ne connais pas. Que se passe-t-il ?
[^] # Re: netstat
Posté par Jehan (site web personnel, Mastodon) . Évalué à 5.
Si c'est un (des?) rootkit(s), cela peuvent aussi être des connexions passives qui sont en attente d'ordres. C'est une utilisation très répandue des malwares, qui est d'utiliser ton ordinateur comme un petit soldat dans un large réseau d'ordinateurs infectés pour un jour leur donner tous l'ordre d'attaquer une seule cible, une "attaque" étant souvent simplement des connexions simples répétées sur des serveurs afin de générer un DDOS, comme l'attaque d'il y a une semaine. On appelle ces ordis en attente des "zombies".
Si tu ne vois pas du tout d'information circuler dans ces connexions, c'est donc peut-être qu'il n'y en a réellement pas (beaucoup). Ce sont donc peut-être des connexions en attente.
Ceci dit, si c'est au point de ralentir ton ordinateur, alors j'ai plutôt l'impression que ces programmes sont activement en communication. Dans ce cas, le risque serait qu'ils te pompent tranquillement tes données (je suis pas sûr de l'utilité pour un attaquant ceci dit) ou bien que ce soit utilisé en continu (soit pour diverses attaques DDOS, ou pour envoyer du spam à partir de ta machine, etc.). Ça ralentit juste la connexion ou bien aussi le fonctionnement normal (sensation de lourdeur des interfaces des programmes et des fenêtres, lancements lents d'application…)? Parce que dans ce cas, tu dois pouvoir voir ces processus vers le haut d'un
top. Essaie de vérifier tes listes de processus (bon c'est pas facile car tu connais peut-être pas le nom des processus "normaux" non plus, mais pour commencer, intéresse toi au moins à ceux les plus actifs, constamment ou par intermittence).En tous cas, quand je vois ces connexions vers des IPs russes, à HongKong ou à la République du Niger, je dirais que c'est mal barré. À part si vraiment tu as des relations avec ces pays (possible après tout!), c'est quand même typiquement le genre de locations d'où on reçoit des spams et d'où ce genre d'activités sont peu réglementées.
Ensuite je veux pas trop t'alarmer, mais perso, je verrais sur mon ordi perso le genre de connexions décrites ici, je couperais la connexion immédiatement, prendrais un disque externe, ferais une sauvegarde de toutes mes données (seulement les données, pas le système entier), formaterais et réinstallerais mon système. Après avoir remis les données, il est conseillé de vérifier encore les connexions et processus (au cas où les processus malveillants sont cachées dans les données et lancées par l'utilisateur, par exemple dans l'autostart, etc.).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
# Coupe akonadi
Posté par Framasky (site web personnel) . Évalué à 5.
Akonadi est un démon de synchronisation de plein de trucs : mail, contacts, calendriers. Tu auras beau couper kmail, si tu ne fais pas
akonadictl stop, tes mails seront quand même relevés en arrière-plan.Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
# rootkit?
Posté par ʭ ☯ . Évalué à 2.
Ta machine s'est peut-être fait attaquer, et un rootkit tourne doucement là-dedans… je dis ça comme ça, car je vois deux noms dns russes dans le lot. A moins que tu utilises des services hébergés en Russie?
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: rootkit?
Posté par NeoX . Évalué à 1.
y a aussi hongkong dans les domaines joint.
le mieux c'est peut-etre de faire un test à vide.
en gros juste l'interface texte, et aucun service reseau utilisateur lancé
voir si y a toujours ces connexion.
# tcpdump /wireshark
Posté par nono14 (site web personnel) . Évalué à 3.
Tu y verras plus clair.
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.