Journal Les mandriva serait-elle espionnées par Mandriva ?

• # Mandriva Online

  Posté par Prosper le 31 décembre 2005 à 18:49. Évalué à 9.

  

  Ca viendrait tout simplement pas de l' applet mandriva online ?

• # Processus ?

  Posté par Pinaraf le 31 décembre 2005 à 18:49. Évalué à 5.

  

  Et si tu fais la commande suivante :
  netstat -apn | grep "tcp"
  Qu'est-ce-que tu obtiens comme processus ?

  • [^] # Re: Processus ?

    Posté par Ontologia (site web personnel) le 31 décembre 2005 à 19:42. Évalué à 5.

    

    [root@localhost montaigne]# netstat -apn | grep "tcp"
    tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 4054/smbd
    tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2496/portmap
    tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 4020/perl
    tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 3400/X
    tcp 0 0 0.0.0.0:688 0.0.0.0:* LISTEN 2626/rpc.statd
    tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3814/proftpd: (acce
    tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 3475/mDNSResponder
    tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 2746/cupsd
    tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 4054/smbd
    tcp 0 0 192.168.0.5:56816 207.46.2.91:1863 ESTABLISHED 4370/gaim
    tcp 1 0 192.168.0.5:56291 212.27.33.225:80 CLOSE_WAIT 5056/firefox-bin
    tcp 0 0 127.0.0.1:41759 127.0.0.1:631 TIME_WAIT -
    tcp 0 0 192.168.0.5:37412 216.155.193.132:5050 ESTABLISHED 4370/gaim
    tcp 0 0 192.168.0.5:139 200.115.111.63:3454 ESTABLISHED 14490/smbd
    tcp 0 0 192.168.0.5:32831 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32830 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32829 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32828 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32827 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32826 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32825 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32824 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32823 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32836 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32834 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 192.168.0.5:32833 212.85.150.181:80 TIME_WAIT -
    tcp 0 0 :::6000 :::* LISTEN 3400/X
    tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55860 TIME_WAIT -
    tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55542 TIME_WAIT -
    tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55787 TIME_WAIT -
    tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55707 TIME_WAIT -
    tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55627 TIME_WAIT -

    « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

    • [^] # Re: Processus ?

      Posté par romain le 31 décembre 2005 à 19:47. Évalué à 4.

      

      Sur le port 80, c'est curieux. Autant ça aurait été une requête DNS, mais là... il y a quoi comme process qui tournent à ce moment-là ? (oui, une autre longue liste :)

      • [^] # Re: Processus ?

        Posté par Ontologia (site web personnel) le 31 décembre 2005 à 20:46. Évalué à 5.

        

        [root@localhost montaigne]# ps aux
        USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
        root 1 0.0 0.1 1564 536 ? S 14:31 0:01 init [5]
        root 2 0.0 0.0 0 0 ? SN 14:31 0:00 [ksoftirqd/0]
        root 3 0.0 0.0 0 0 ? S< 14:31 0:00 [events/0]
        root 4 0.0 0.0 0 0 ? S< 14:31 0:00 [khelper]
        root 5 0.0 0.0 0 0 ? S< 14:31 0:00 [kthread]
        root 7 0.0 0.0 0 0 ? S< 14:31 0:00 [kacpid]
        root 75 0.0 0.0 0 0 ? S< 14:31 0:00 [kblockd/0]
        root 107 0.0 0.0 0 0 ? S 14:31 0:00 [pdflush]
        root 108 0.0 0.0 0 0 ? S 14:31 0:04 [pdflush]
        root 110 0.0 0.0 0 0 ? S< 14:31 0:00 [aio/0]
        root 109 0.0 0.0 0 0 ? S 14:31 0:00 [kswapd0]
        root 699 0.0 0.0 0 0 ? S 14:31 0:00 [kseriod]
        root 786 0.0 0.0 0 0 ? S< 14:31 0:00 [reiserfs/0]
        root 918 0.0 0.0 1560 500 ? S<s 14:31 0:00 udevd -d
        root 1109 0.0 0.0 0 0 ? S 14:31 0:00 [khubd]
        root 1426 0.0 0.0 0 0 ? S 14:31 0:00 [scsi_eh_0]
        root 1428 0.0 0.0 0 0 ? S 14:31 0:00 [usb-storage]
        root 2405 0.0 0.1 1584 524 ? Ss 14:31 0:00 /sbin/ifplugd -b -i eth0
        rpc 2496 0.0 0.1 1684 584 ? Ss 14:31 0:00 portmap
        root 2520 0.0 0.1 1732 644 ? Ss 14:31 0:03 syslogd -m 0
        root 2528 0.0 0.2 2452 1332 ? Ss 14:31 0:00 klogd -2
        root 2580 0.0 0.1 1684 600 ? Ss 14:31 0:00 /usr/sbin/acpid
        root 2626 0.0 0.1 1692 728 ? Ss 14:31 0:00 rpc.statd
        root 2746 0.0 0.5 5800 2724 ? Ss 14:31 0:00 cupsd
        root 2914 0.0 0.0 0 0 ? S 14:31 0:00 [kgameportd]
        xfs 3113 0.0 0.4 4288 2512 ? Ss 14:32 0:00 xfs -port -1 -daemon -droppriv -user xfs
        70 3138 0.0 0.2 2224 1200 ? Ss 14:32 0:00 dbus-daemon-1 --system
        root 3163 0.0 0.5 4136 2688 ? Ss 14:32 0:16 hald
        root 3358 0.0 0.1 2736 744 ? S 14:32 0:00 /usr/bin/kdm -nodaemon
        root 3359 0.0 0.1 2796 672 ? Ss 14:32 0:01 nifd -n
        root 3400 2.1 10.1 56512 52292 tty7 SLs+ 14:32 7:51 /etc/X11/X -deferglyphs 16 :0 -auth /var/run/xauth/A:0-Zl1R
        root 3417 0.0 0.3 3556 1600 ? S 14:32 0:00 -:0
        nobody 3475 0.0 0.2 11416 1132 ? Ssl 14:32 0:00 mDNSResponder
        daemon 3518 0.0 0.1 1808 608 ? Ss 14:32 0:00 /usr/sbin/atd
        ntp 3587 0.0 0.7 4032 4032 ? SLs 14:32 0:00 ntpd -A -u ntp:ntp
        root 3627 0.0 0.1 2140 852 ? Ss 14:32 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
        clamav 3728 0.0 0.2 4456 1412 ? Ss 14:32 0:00 /usr/bin/freshclam --config-file=/etc/freshclam.conf --quie
        501 3788 0.0 0.2 2996 1476 ? Ss 14:32 0:00 /bin/sh /usr/bin/startkde
        root 3814 0.0 0.5 5516 2612 ? Ss 14:32 0:00 proftpd: (accepting connections)
        501 3910 0.0 0.1 2588 744 ? S 14:32 0:00 /usr/bin/dbus-launch --exit-with-session --auto-syntax
        501 3911 0.0 0.1 2132 876 ? Ss 14:32 0:00 dbus-daemon-1 --fork --print-pid 8 --print-address 6 --sess
        501 3949 0.0 3.1 22920 16440 ? S 14:32 0:14 /usr/bin/perl /usr/bin/net_applet
        501 3970 0.0 0.5 6388 2700 ? Ss 14:32 0:00 s2u --daemon=yes
        root 4020 0.0 1.1 8184 5988 ? Ss 14:32 0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/min
        root 4054 0.0 0.6 8708 3224 ? Ss 14:32 0:00 smbd -D
        root 4062 0.0 0.6 8892 3304 ? S 14:32 0:00 smbd -D
        501 4069 0.0 0.2 2988 1464 ? S 14:32 0:00 /bin/sh /usr/bin/startkde
        501 4073 0.0 1.3 17508 6736 ? S 14:32 0:00 gnome-volume-manager
        root 4079 0.0 0.4 6176 2096 ? Ss 14:32 0:00 nmbd -D
        501 4166 0.0 0.7 5520 3900 ? S 14:32 0:00 /usr/lib/gconfd-2 13
        501 4167 0.0 1.6 23036 8756 ? Ss 14:32 0:00 kdeinit Running...
        501 4195 0.0 1.6 22468 8412 ? S 14:32 0:00 dcopserver [kdeinit] --nosid
        root 4204 0.0 0.0 1544 440 tty1 Ss+ 14:32 0:00 /sbin/mingetty tty1
        root 4205 0.0 0.0 1548 444 tty2 Ss+ 14:32 0:00 /sbin/mingetty tty2
        root 4206 0.0 0.0 1544 436 tty3 Ss+ 14:32 0:00 /sbin/mingetty tty3
        root 4207 0.0 0.0 1548 444 tty4 Ss+ 14:32 0:00 /sbin/mingetty tty4
        root 4208 0.0 0.0 1548 444 tty5 Ss+ 14:32 0:00 /sbin/mingetty tty5
        root 4209 0.0 0.0 1544 436 tty6 Ss+ 14:32 0:00 /sbin/mingetty tty6
        501 4224 0.0 1.9 24720 9912 ? S 14:32 0:00 klauncher [kdeinit]
        501 4273 0.0 2.8 28356 14920 ? S 14:32 0:03 kded [kdeinit]
        501 4275 0.0 0.2 2596 1392 ? S 14:32 0:03 /usr/lib/gam_server
        501 4281 0.0 2.2 24772 11816 ? S 14:32 0:00 kaccess [kdeinit]
        501 4289 0.0 1.5 29736 8124 ? S 14:32 0:01 /usr/bin/artsd -F 9 -S 4096 -d -s 1 -m artsmessage -c drkon
        501 4292 0.0 0.0 1540 340 ? S 14:32 0:00 kwrapper ksmserver
        501 4295 0.0 2.2 24412 11456 ? S 14:32 0:00 ksmserver [kdeinit]
        501 4299 0.0 3.0 27412 15508 ? S 14:32 0:06 kwin [kdeinit] -session 117f0000010001093898165000000291500
        501 4306 0.0 3.1 30916 16120 ? S 14:32 0:02 knotify [kdeinit]
        501 4317 0.0 3.2 28404 16532 ? S 14:32 0:06 kdesktop [kdeinit]
        501 4330 0.0 0.1 2544 844 ? S 14:32 0:00 xsettings-kde
        501 4333 0.1 3.6 30640 18976 ? S 14:32 0:43 kicker [kdeinit]
        501 4334 0.0 1.8 23580 9648 ? S 14:32 0:00 kio_file [kdeinit] file /home/montaigne/tmp/ksocket-montaig
        501 4345 0.0 3.1 28052 16104 ? S 14:32 0:02 konsole [kdeinit] -session 117f0000010001105998851000000425
        501 4358 0.0 3.2 28612 16736 ? S 14:32 0:06 konsole [kdeinit] -session 117f0000010001117214254000000450
        501 4359 0.0 2.9 37228 15132 ? Sl 14:32 0:02 nautilus --sm-config-prefix /nautilus-hpoPa4/ --sm-client-i
        501 4362 0.0 4.7 37968 24472 ? S 14:32 0:06 konqueror [kdeinit] -session 1014cd7d2d40001135760380000000
        501 4363 0.0 2.7 27212 14288 ? S 14:32 0:01 korgac --miniicon korganizer
        501 4368 0.0 0.5 5436 2908 ? Ss 14:32 0:00 /usr/lib/bonobo-activation-server --ac-activate --ior-outpu
        501 4369 0.0 3.1 26872 16324 ? S 14:32 0:04 kjots -session 1014cd7d2d4000113456508500000041930011_11359
        501 4370 0.1 3.0 28260 15556 ? S 14:32 0:26 /usr/bin/gaim --session 1014cd7d2d4000113568948300000042930
        501 4371 0.0 3.5 32916 18452 ? S 14:32 0:01 konqueror [kdeinit] --preload
        501 4375 0.0 1.8 24328 9660 ? S 14:32 0:00 kalarmd
        501 4380 0.0 0.7 9188 3780 ? Sl 14:32 0:00 /usr/lib/gnome-vfs-daemon --oaf-activate-iid=OAFIID:GNOME_V
        501 4394 0.0 0.3 3272 1932 pts/1 Ss+ 14:33 0:00 /bin/bash
        501 4396 0.0 0.3 3280 1952 pts/2 Ss+ 14:33 0:00 /bin/bash
        501 4398 0.0 0.3 3268 1944 pts/3 Ss+ 14:33 0:00 /bin/bash
        501 4408 0.0 0.3 3268 1932 pts/4 Ss+ 14:33 0:00 /bin/bash
        501 4412 0.0 0.3 3268 1932 pts/5 Ss+ 14:33 0:00 /bin/bash
        501 4424 0.0 0.1 2120 704 ? S 14:33 0:00 /usr/lib/mapping-daemon
        501 4426 0.0 0.3 3276 1952 pts/6 Ss 14:33 0:00 /bin/bash
        501 4436 0.0 0.3 3276 1936 pts/7 Ss+ 14:33 0:00 /bin/bash
        501 4440 0.0 0.3 3276 1932 pts/8 Ss+ 14:33 0:00 /bin/bash
        501 4472 0.0 0.3 3268 1932 pts/9 Ss+ 14:33 0:00 /bin/bash
        501 4474 0.0 0.3 3272 1936 pts/10 Ss+ 14:33 0:00 /bin/bash
        501 4504 0.0 0.3 3272 1932 pts/11 Ss+ 14:33 0:00 /bin/bash
        501 4508 0.0 0.3 3268 1944 pts/12 Ss+ 14:33 0:00 /bin/bash
        501 4530 0.0 0.3 3280 1944 pts/13 Ss 14:33 0:00 /bin/bash
        501 4574 0.0 0.3 3272 1932 pts/14 Ss+ 14:33 0:00 /bin/bash
        501 4638 0.0 0.3 3276 1936 pts/15 Ss+ 14:33 0:00 /bin/bash
        501 5048 0.0 0.2 2492 1220 ? S 15:41 0:00 /bin/sh /home/montaigne/Softs/firefox/firefox
        501 5051 0.0 0.2 3044 1516 ? S 15:41 0:00 /bin/sh /home/montaigne/Softs/firefox/run-mozilla.sh /home/
        501 5056 10.4 12.2 142688 62936 ? Sl 15:41 31:44 /home/montaigne/Softs/firefox/firefox-bin
        501 5153 2.9 4.7 29992 24408 ? S 16:33 7:30 /usr/bin/perl /usr/sbin/net_monitor
        501 8138 0.0 0.2 2476 1172 ? S 17:46 0:00 /bin/sh /usr/local/RealPlayer/realplay /home/montaigne/Docu
        501 8143 0.2 2.6 56540 13520 ? Sl 17:46 0:31 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
        501 8145 0.0 1.3 22204 7136 ? S 17:46 0:00 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
        501 8146 0.0 1.3 22204 7136 ? S 17:46 0:00 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
        501 10576 0.0 0.2 2308 1088 pts/6 S+ 18:26 0:00 bc
        root 14844 0.0 0.2 2572 1212 pts/13 S 19:40 0:00 su
        root 14849 0.0 0.5 3736 2592 pts/13 S 19:40 0:00 bash
        root 16602 0.0 0.1 2592 828 pts/13 R+ 20:45 0:00 ps aux

        « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

        • [^] # Re: Processus ?

          Posté par romain le 01 janvier 2006 à 12:50. Évalué à 7.

          

          Hé bé.
          Bon, ce n'est pas Online : il n'y a pas de mdkapplet qui tourne, et de toutes façons, rien n'y fait une requête sur ns2 en http.
          
          Par contre, ça pourrait tout simplement être la page de démarrage par défaut ; elle contient un javascript qui diagnostique si le poste client est en ligne ou pas, en faisant une requête web sur images.mandriva.com (qui se trouve avoir la même ip).
          
          Si tu ouvres 15 fenêtres de ton navigateur, effectivement, le js va s'activer 15 fois... à moins de pouvoir cacher localement l'état en js, ou de n'attribuer la page de démarrage par défaut qu'à la première instance. Si quelqu'un a une suggestion...

        • [^] # Re: Processus ?

          Posté par Zorro (site web personnel) le 02 janvier 2006 à 17:19. Évalué à 2.

          

          Tu t'en sers, de mDNSResponder ?

• # Les services et co?

  Posté par Vador Dark (site web personnel) le 01 janvier 2006 à 12:43. Évalué à 6.

  

  Bonjour et bonne année :)
  
  Peut-être est-ce simplement les bidules du club et autres?
  Tu peux toujours tenter de faire pointer ce nom d'hôte vers une autre ip(dans le /etc/hosts), voir ce que ça donne, ou par sécurité si tu penses être espionné.
  L'autre solution, c'est de prendre contacts avec eux, et de le leur demander. Et de partager la réponse avec nous :)
  http://frontal1.mandriva.com/en/company/contact/feedback

• # Je ne suis pas seul....

  Posté par Reunig Kozh le 02 janvier 2006 à 23:48. Évalué à 3.

  

  Depuis que je suis passé à Mandriva 2006, j'ai l'applet "Moniteur Système" de Gnome qui m'indique un trafic réseau important alors que tcpdump ne perçoit aucune donnée.
  Je cherchais à comprendre pourquoi et en lançant la "surveillance réseau" j'ai eu un trafic important vers ns2.moondrake.net.http et en cherchant dans google je suis tombé sur ton problème
  Cela ne résoud pas ton problème ni le mien mais au moins on se sent moins seul :-)

  Reunig Kozh

  • [^] # Re: Je ne suis pas seul....

    Posté par Gniarf le 03 janvier 2006 à 07:05. Évalué à 4.

    

    d'après la liste plus haut et http://www.linuxquestions.org/questions/showthread.php?threa(...)
    
    ça serait net_monitor

• # Info

  Posté par Olivier (site web personnel) le 07 janvier 2006 à 15:01. Évalué à 1.

  

  Si on accède au port 80 de ns2.moondrake.net , on tombe sur :
  
  http://wwwnew.mandriva.com/
  
  C'est un site d'information pour Mandriva, en fait c'est même carrément la "home page" de http://www.mandriva.com/ , puique www.mandriva.com est redirigé sur wwwnew.mandriva.com :
  
  [olivier@. ~]$ telnet www.mandriva.com 80
  Trying 212.85.150.181...
  Connected to www.mandriva.com (212.85.150.181).
  Escape character is '^]'.
  GET http://www.mandriva.com/index.html
  <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  
  301 Moved Permanently
  
  Moved Permanently
  The document has moved A HREF="http://wwwnew.mandriva.com/index.html">here /A.
  
  Apache-AdvancedExtranetServer/1.3.27 Server at www.mandriva.com Port 80
  
  Connection closed by foreign host.
  
  
  Par contre, le fait que tu vois des connexions sur "ns2.moondrake.net", vient de la manière dont Mandriva à rempli ses DNS.
  
  Je m'explique :
  - "netstat" voit des connexions vers l'adresse IP 212.85.150.181
  - Il lance alors une resolution de nom. C'est l'équivalent à la commande "host 212.85.150.181". Cela retourne le "ns2.moondrake.net" que tu reçois. Et ce nom est typiquement celui que l'on donne à un DNS.
  - Mais tu y fais dessus des requêtes HTTP. Des requêtes HTTP sur un serveur DNS ? C'est quoi ce bins ? Pas de panique !! Cette adresse IP heberge aussi d'autres serveurs/service :
  
  [olivier@. ~]$ host 212.85.150.181
  181.150.85.212.in-addr.arpa is an alias for 181.160/27.150.85.212.in-addr.arpa.
  181.160/27.150.85.212.in-addr.arpa domain name pointer ns2.moondrake.net.
  
  [olivier@. ~]$ host www.mandriva.com
  www.mandriva.com has address 212.85.150.181
  
  Donc en fait, le problème vient de connexions qui sont faites sur www.mandriva.com . Quel est le programme qui en est la cause, je ne sais pas (encore). Mais cela ne ressemble pas encore trop à un spyware, ou à un truc trop louche.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.