Bonjour,
je me suis aperçu d'un truc que je trouve bizarre. Je suis chez Numéricable, j'ai un modem dont l'IP est 192.168.111.1 (j'ai changé ma plage d'IP de 192.168.0.0 à 192.168.111.0 pour mes accès VPN).
Pour mon VPN perso (OpenVPN) j'ai un vieux boitier G-Connect modifié avec un OpenVPN qui est en 192.168.111.100 et qui écoute sur le port 443.
Et pour finir j'ai un PC sous Ubuntu en 192.168.111.4
Petite précision, je n'ai que deux redirections de port de configuré dans mon routeur Numéricable:
443 vers mon boitier NAS 192.168.111.100 avec OpenVPN (pour que ça passe mieux de ma boite).
25565 vers ma machine Ubuntu ou tourne un serveur Minecraft (et un serveur SSH pour l'instant sur le port 22).
L'autre jour je fais un netstat -na | grep ESTABLISHED et je tombe sur:
Pour la première ligne, c'est ma connexion SSH que je fais à partir de ma boite via mon VPN, mais pour les autres lignes je ne comprend pas, d'autant que je n'ai pas de transfert du port 22 de configuré dans mon routeur Numéricable.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7 tcp 0 64 192.168.111.4:22 192.168.111.100:8702 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.194:43113 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.194:37822 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.238:40018 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.194:29220 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.238:32876 ESTABLISHED tcp 0 0 192.168.111.4:22 112.85.42.238:31271 ESTABLISHED
De plus il me semble, d'après une recherche sur Internet, que les IP 112.85.42.X viennent de Chine et sont noté comme brute force SSH.
Sur mon serveur SSH la connexion root n'est pas permise, depuis j'ai changé de port mon serveur SSH et j'ai ajouter une restriction pour que seul 192.168.111.100 puisse s'y connecter... Comme je passe toujours par mon VPN pour m'y connecter cela ne me pose pas de problème.
Mais cela me semble très suspect... D'après vous est-ce mon routeur Numéricable qui est vérolé, ou mon Linux ? Un logiciel sur ce dernier permet peut-être de faire du TCP hole punching...
Si c'était mon VPN je pense que la connexion proviendrai du 192.168.111.100 (comme celle que je fais) et non d'une IP externe.
Qu'en pensez-vous ?
Partager