Ya has recibido dos buenas respuestas a tu pregunta, así que pido disculpas por añadir una nueva que aborda algo que he leído entre líneas de tu publicación. Mi respuesta está destinada a complementar
las otras dos respuestas, no a sustituirlas.
A partir de la salida de netstat
no es posible determinar si la conexión fue iniciada por tu propia máquina o por la máquina remota. El simple hecho de que estés haciendo esta pregunta me preocupa, y lo que me preocupa aún más es otro hecho extraño en esa salida: el uso de puertos altos
(lo que significa > 10,000) para ambos lados de la conexión.
Déjame explicarte. Las PCs proporcionan servicios a otras PCs, en un modelo cliente/servidor
: por ejemplo, el servidor web escucha solicitudes de páginas web en un puerto específico (en realidad, dos: 80 y 443) de un cliente remoto. Lo mismo ocurre con ssh, ftp, dns
, y así sucesivamente. Todos los servicios esenciales escuchan en puertos conocidos (consulta en Wikipedia por ejemplo) algunos de los cuales son tan importantes que están establecidos en piedra: su asignación está regulada nada menos que por IANA. Muchos otros puertos, aunque su uso no está regulado por IANA, se han vuelto tradicionales para ciertas aplicaciones. Lo que todos los puertos escuchando
tienen en común es que están por debajo de 10000. Los puertos altos (los que están por encima de 10,000) tradicionalmente se reservan para conexiones salientes
, no para escuchar.
Entonces, ¿cómo se explica una conexión entre los puertos 39922 y 29842? Porque alguien ha configurado un servicio en un puerto muy no estándar, ya sea en tu máquina o en la máquina remota. ¿Tu máquina es el servidor escuchando
? El comando
sudo ss -lntp
te dirá eso: lista todos los puertos en los que tu máquina escucha conexiones entrantes (TCP, la opción -t
), y los procesos asociados. Así que ahora puedes ver qué proceso, si lo hay, está escuchando en el puerto 39922.
Ahora vamos a suponer que eso resulta ser cierto, es decir
, que hay un servicio que no configuraste escuchando en el puerto 39922. ¿Quién hace eso? Los hackers, que utilizan una herramienta (netcat
o nc
, la navaja suiza de las conexiones TCP) que les permite conectar fácilmente sobre puertos altos entre su PC y una PC p0wned
. Por eso estoy preocupado.
Tampoco me tranquiliza saber que 23.82.16.66 pertenece a Nobis Technology, una empresa que posee varios centros de datos que proporcionan soluciones de servidores en la nube. Y, para colmo, mientras consultaba en Google la información anterior, me encontré con esta Publicación de un sysadmin que relata cómo Nobis Technology es un conocido remitente de spam, y descubrí que la dirección mencionada, 23.82.16.66, cae claramente dentro de uno de los rangos que el pobre tipo está tratando de bloquear; y, sorpresa, tu dirección IP local, 192.99.202.17, es reportada por whatismyipaddress.com como tu servidor de correo.
En última instancia, ¿qué conclusiones saco de esto? Una conexión de un remitente de spam conocido a tu servidor de correo, solo a través de puertos altos, de los cuales no sabes nada. Parece probable que tu sistema haya sido violado de alguna manera. Por eso estoy escribiendo esta publicación.