dirección ip impar conectada a mi caja

3

Hoy fui a la biblioteca. Estaba mirando mi netstat -una salida y vi esto.

tcp        0      0 127.0.0.1:6379          127.0.0.1:46376         ESTABLISHED
tcp        0      0 127.0.0.1:46376         127.0.0.1:6379          ESTABLISHED
tcp        1      0 172.16.10.99:41582      123.123.123.123:80      CLOSE_WAIT 
tcp        0      0 172.16.10.99:34960      172.217.2.238:443       TIME_WAIT  
tcp        0      0 127.0.0.1:6379          127.0.0.1:43480         ESTABLISHED
tcp        0      0 127.0.0.1:43526         127.0.0.1:6379          ESTABLISHED

Noté la dirección 123.123.123.123 que me conectó en el puerto 41582. Cuando geolocalicé la IP, el sitio web decía que pertenecía a un lugar en Beijing, China. Entonces recordé que no he aceptado los términos de uso de la conexión a Internet de la biblioteca que estaba usando.

Así que esto me hizo sentir más extraño al respecto. Tengo curiosidad por saber si esta conexión se estaba realizando desde la red de la biblioteca interna o si se hacía un proxy a través de la biblioteca, lo que significaría que un dispositivo de la biblioteca se estaba utilizando como proxy.

Porque 172.16.10.99 era mi IP interna cuando estaba en la biblioteca. La IP pública de la biblioteca era algo diferente.

Ejecuto Ubuntu Linux y cuando esto ocurrió no estaba navegando en ningún sitio web en China ni accediendo a nada en el continente asiático.

Así que todo esto parece un poco extraño.

Solo estoy tratando de darle sentido a este evento.

¿Alguien podría proporcionar alguna idea?

Mi preocupación es que tengo algo en mi caja que está escuchando en estos puertos y que se está accediendo cuando hay una conexión a Internet activa.

Esto es lo que shodan menciona con respecto a esta IP: enlace

Gracias.

    
pregunta user964491 23.03.2018 - 17:52
fuente

2 respuestas

1

Es su computadora portátil la que se conectó (o trató de conectarse) a esa IP, no al revés. Intenté conectarme a esa IP, y básicamente no se conectará.

Tu netstat tampoco mostró realmente una conexión establecida, ya que está en CLOSE_WAIT . Busqué en Google que la IP no reveló nada sobre posibles amenazas relacionadas, pero encontré al menos una discusión en la que esa misteriosa IP se explicó como "configuración predeterminada probablemente mal configurada". Si lo piensas bien, es una IP muy peculiar, 123.123.123.123, que bien podría ser una cadena utilizada como una dirección IP de ejemplo, como "abc123" para una contraseña, o [email protected] para una dirección de correo electrónico. Así que no hay nada allí, podría ser una configuración predeterminada aleatoria que no tiene sentido.

No tengo idea de dónde se podría configurar esa IP predeterminada mal configurada: aplicaciones en su computadora portátil, scripts o cualquier elemento en páginas web, etc. Si ejecuta netstat con las opciones -e y -p , puede ser capaz de entender un poco más.

    
respondido por el reed 22.04.2018 - 22:57
fuente
0

Es difícil decirlo, pero esas direcciones parecen que su caja está hablando con recursos en la red. Los puertos normales son 80 y 443 para HTTP y HTTPS en ese orden. 6379 se utiliza para las claves, podría ser autenticarse en la red.

Jonah Bentons menciona que la salida de ese comando es válida, ya que Linux escupirá las conexiones de izquierda a derecha (su cuadro) > > (recurso en la red).

En lo que respecta a la IP 123.123.123.123, podría ser un recurso en la biblioteca que se conecta a un servidor chino.

    
respondido por el Heigou 23.03.2018 - 18:56
fuente

Lea otras preguntas en las etiquetas