activité réseau suspecte

tiresias · Le 24/11/2017, à 19:08

Bonjour,
Sur mon moniteur système, j'ai un débit entrant de 300ko/s alors qu'aucune application internet n'est ouverte...

Si je fait un netstat, j'ai :

$ netstat -pute
(Tous les processus ne peuvent être identifiés, les infos sur les processus
non possédés ne seront pas affichées, vous devez être root pour les voir toutes.)
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       User       Inode       PID/Program name           
tcp        0      0 192.168.0.46:33532      104.16.175.181:https    TIME_WAIT   root       0           -               
tcp        0      0 192.168.0.46:34958      coptere.infra.ubu:https TIME_WAIT   root       0           -               
tcp      780      0 192.168.0.46:34100      192.168.0.2:netbios-ssn ESTABLISHED mon_username   1031280     18442/gvfsd-smb-bro
tcp        0      0 192.168.0.46:52928      a2-16-117-64.deplo:http TIME_WAIT   root       0           -               
tcp        0      0 192.168.0.46:34954      coptere.infra.ubu:https TIME_WAIT   root       0           -

c'est quoi gvfsd-smb-br? comment savoir ce qu'il est en train de faire?

edit: en désactivant le WIFI à partir de l'interface de ma box, le traffic réseau tombe instantanément à 0ko/s .....

Dernière modification par tiresias (Le 24/11/2017, à 19:14)

nam1962 · Le 24/11/2017, à 20:25

man gvfs

As tu un dual boot ?

Zakhar · Le 24/11/2017, à 20:44

Tu es connecté en Samba sur un poste W$

Virus côté W$ ?

(Indices : smb=samba, netbios=M$)

Samba est plus connu du grand public comme "Partage W$"... même si ce n'est nullement M$ qui l'a inventé, il est surtout utilisé par les machines ayant cet OS privateur.

Dernière modification par Zakhar (Le 24/11/2017, à 20:47)

Brunod · Le 24/11/2017, à 21:03

Un scan anti-virus réseau ? En entrée, c'est bizarre; une synchro peut-être ?

tiresias · Le 24/11/2017, à 21:30

nam1962 a écrit :

man gvfs
As tu un dual boot ?

oui j'ai un dual boot, mais si ça vient de là comment se fait-il que l'autre OS télécharge des trucs vu qu'il n'est pas booté??

rogn... · Le 24/11/2017, à 22:05

Ce que voulait dire nam1962, c'est que ton Ubuntu dialogue avec une autre machine disposant de SMB sur ton réseau local. Tu peux la repérer facilement avec

nmap -sT 192.168.0.1/24

Chez moi, il y a bien un netbios-ssn sur le réseau local sur le port 139 utilisé par une machine qui n'est pas la mienne

Nmap scan report for 192.168.0.19
Host is up (0.033s latency).
Not shown: 991 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1801/tcp open  msmq
2103/tcp open  zephyr-clt
2105/tcp open  eklogin
2107/tcp open  msmq-mgmt
2869/tcp open  icslap

nam1962 · Le 24/11/2017, à 22:27

Exact et mieux dit que par moi !

Zakhar · Le 24/11/2017, à 23:13

tiresias a écrit :

$ netstat -pute

Au fait, j'aime bien ton moyen mnémonique de te rappeler des options utiles de netstat, pas très "politiquement correct", mais efficace !

Dernière modification par Zakhar (Le 24/11/2017, à 23:14)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/11/2017, à 19:08

activité réseau suspecte

#2 Le 24/11/2017, à 20:25

Re : activité réseau suspecte

#3 Le 24/11/2017, à 20:44

Re : activité réseau suspecte

#4 Le 24/11/2017, à 21:03

Re : activité réseau suspecte

#5 Le 24/11/2017, à 21:30

Re : activité réseau suspecte

#6 Le 24/11/2017, à 22:05

Re : activité réseau suspecte

#7 Le 24/11/2017, à 22:27

Re : activité réseau suspecte

#8 Le 24/11/2017, à 23:13

Re : activité réseau suspecte

Pied de page des forums