Journal Les mandriva serait-elle espionnées par Mandriva ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
31
déc.
2005
Bonsoir, en préparation d'un réveillon bien arrosé, je tiens à vous soumettre ma découverte de tout de suite.

J'ai une Mandriva à laquelle je n'ai pas touché (recompilation du noyau, etc...) car ce genre de chose ne m'amuse plus.

Lorsque je fais un netstat -a, je retrouve à chaque fois un truc très bizare :

tcp 0 0 192.168.0.5:59527 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59526 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59535 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59534 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59533 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59532 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59531 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59529 ns2.moondrake.net:http TIME_WAIT
tcp 0 0 192.168.0.5:59528 ns2.moondrake.net:http TIME_WAIT

A chaque fois que je tappe un netstat -a, je me retrouve toujours avec ça.
Lorsque je teste cette adresse dans un navigateur, je tombe sur http://frontal1.mandriva.com/

Comment peut-on expliquer un telle chose ?
  • # Mandriva Online

    Posté par  . Évalué à 9.

    Ca viendrait tout simplement pas de l' applet mandriva online ?
  • # Processus ?

    Posté par  . Évalué à 5.

    Et si tu fais la commande suivante :
    netstat -apn | grep "tcp"
    Qu'est-ce-que tu obtiens comme processus ?
    • [^] # Re: Processus ?

      Posté par  (site web personnel) . Évalué à 5.

      [root@localhost montaigne]# netstat -apn | grep "tcp"
      tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 4054/smbd
      tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2496/portmap
      tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 4020/perl
      tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 3400/X
      tcp 0 0 0.0.0.0:688 0.0.0.0:* LISTEN 2626/rpc.statd
      tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3814/proftpd: (acce
      tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 3475/mDNSResponder
      tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 2746/cupsd
      tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 4054/smbd
      tcp 0 0 192.168.0.5:56816 207.46.2.91:1863 ESTABLISHED 4370/gaim
      tcp 1 0 192.168.0.5:56291 212.27.33.225:80 CLOSE_WAIT 5056/firefox-bin
      tcp 0 0 127.0.0.1:41759 127.0.0.1:631 TIME_WAIT -
      tcp 0 0 192.168.0.5:37412 216.155.193.132:5050 ESTABLISHED 4370/gaim
      tcp 0 0 192.168.0.5:139 200.115.111.63:3454 ESTABLISHED 14490/smbd
      tcp 0 0 192.168.0.5:32831 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32830 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32829 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32828 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32827 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32826 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32825 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32824 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32823 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32836 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32834 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 192.168.0.5:32833 212.85.150.181:80 TIME_WAIT -
      tcp 0 0 :::6000 :::* LISTEN 3400/X
      tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55860 TIME_WAIT -
      tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55542 TIME_WAIT -
      tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55787 TIME_WAIT -
      tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55707 TIME_WAIT -
      tcp 0 0 ::ffff:192.168.0.5:22 ::ffff:61.30.235.33:55627 TIME_WAIT -

      « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

      • [^] # Re: Processus ?

        Posté par  . Évalué à 4.

        Sur le port 80, c'est curieux. Autant ça aurait été une requête DNS, mais là... il y a quoi comme process qui tournent à ce moment-là ? (oui, une autre longue liste :)
        • [^] # Re: Processus ?

          Posté par  (site web personnel) . Évalué à 5.

          [root@localhost montaigne]# ps aux
          USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
          root 1 0.0 0.1 1564 536 ? S 14:31 0:01 init [5]
          root 2 0.0 0.0 0 0 ? SN 14:31 0:00 [ksoftirqd/0]
          root 3 0.0 0.0 0 0 ? S< 14:31 0:00 [events/0]
          root 4 0.0 0.0 0 0 ? S< 14:31 0:00 [khelper]
          root 5 0.0 0.0 0 0 ? S< 14:31 0:00 [kthread]
          root 7 0.0 0.0 0 0 ? S< 14:31 0:00 [kacpid]
          root 75 0.0 0.0 0 0 ? S< 14:31 0:00 [kblockd/0]
          root 107 0.0 0.0 0 0 ? S 14:31 0:00 [pdflush]
          root 108 0.0 0.0 0 0 ? S 14:31 0:04 [pdflush]
          root 110 0.0 0.0 0 0 ? S< 14:31 0:00 [aio/0]
          root 109 0.0 0.0 0 0 ? S 14:31 0:00 [kswapd0]
          root 699 0.0 0.0 0 0 ? S 14:31 0:00 [kseriod]
          root 786 0.0 0.0 0 0 ? S< 14:31 0:00 [reiserfs/0]
          root 918 0.0 0.0 1560 500 ? S<s 14:31 0:00 udevd -d
          root 1109 0.0 0.0 0 0 ? S 14:31 0:00 [khubd]
          root 1426 0.0 0.0 0 0 ? S 14:31 0:00 [scsi_eh_0]
          root 1428 0.0 0.0 0 0 ? S 14:31 0:00 [usb-storage]
          root 2405 0.0 0.1 1584 524 ? Ss 14:31 0:00 /sbin/ifplugd -b -i eth0
          rpc 2496 0.0 0.1 1684 584 ? Ss 14:31 0:00 portmap
          root 2520 0.0 0.1 1732 644 ? Ss 14:31 0:03 syslogd -m 0
          root 2528 0.0 0.2 2452 1332 ? Ss 14:31 0:00 klogd -2
          root 2580 0.0 0.1 1684 600 ? Ss 14:31 0:00 /usr/sbin/acpid
          root 2626 0.0 0.1 1692 728 ? Ss 14:31 0:00 rpc.statd
          root 2746 0.0 0.5 5800 2724 ? Ss 14:31 0:00 cupsd
          root 2914 0.0 0.0 0 0 ? S 14:31 0:00 [kgameportd]
          xfs 3113 0.0 0.4 4288 2512 ? Ss 14:32 0:00 xfs -port -1 -daemon -droppriv -user xfs
          70 3138 0.0 0.2 2224 1200 ? Ss 14:32 0:00 dbus-daemon-1 --system
          root 3163 0.0 0.5 4136 2688 ? Ss 14:32 0:16 hald
          root 3358 0.0 0.1 2736 744 ? S 14:32 0:00 /usr/bin/kdm -nodaemon
          root 3359 0.0 0.1 2796 672 ? Ss 14:32 0:01 nifd -n
          root 3400 2.1 10.1 56512 52292 tty7 SLs+ 14:32 7:51 /etc/X11/X -deferglyphs 16 :0 -auth /var/run/xauth/A:0-Zl1R
          root 3417 0.0 0.3 3556 1600 ? S 14:32 0:00 -:0
          nobody 3475 0.0 0.2 11416 1132 ? Ssl 14:32 0:00 mDNSResponder
          daemon 3518 0.0 0.1 1808 608 ? Ss 14:32 0:00 /usr/sbin/atd
          ntp 3587 0.0 0.7 4032 4032 ? SLs 14:32 0:00 ntpd -A -u ntp:ntp
          root 3627 0.0 0.1 2140 852 ? Ss 14:32 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
          clamav 3728 0.0 0.2 4456 1412 ? Ss 14:32 0:00 /usr/bin/freshclam --config-file=/etc/freshclam.conf --quie
          501 3788 0.0 0.2 2996 1476 ? Ss 14:32 0:00 /bin/sh /usr/bin/startkde
          root 3814 0.0 0.5 5516 2612 ? Ss 14:32 0:00 proftpd: (accepting connections)
          501 3910 0.0 0.1 2588 744 ? S 14:32 0:00 /usr/bin/dbus-launch --exit-with-session --auto-syntax
          501 3911 0.0 0.1 2132 876 ? Ss 14:32 0:00 dbus-daemon-1 --fork --print-pid 8 --print-address 6 --sess
          501 3949 0.0 3.1 22920 16440 ? S 14:32 0:14 /usr/bin/perl /usr/bin/net_applet
          501 3970 0.0 0.5 6388 2700 ? Ss 14:32 0:00 s2u --daemon=yes
          root 4020 0.0 1.1 8184 5988 ? Ss 14:32 0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/min
          root 4054 0.0 0.6 8708 3224 ? Ss 14:32 0:00 smbd -D
          root 4062 0.0 0.6 8892 3304 ? S 14:32 0:00 smbd -D
          501 4069 0.0 0.2 2988 1464 ? S 14:32 0:00 /bin/sh /usr/bin/startkde
          501 4073 0.0 1.3 17508 6736 ? S 14:32 0:00 gnome-volume-manager
          root 4079 0.0 0.4 6176 2096 ? Ss 14:32 0:00 nmbd -D
          501 4166 0.0 0.7 5520 3900 ? S 14:32 0:00 /usr/lib/gconfd-2 13
          501 4167 0.0 1.6 23036 8756 ? Ss 14:32 0:00 kdeinit Running...
          501 4195 0.0 1.6 22468 8412 ? S 14:32 0:00 dcopserver [kdeinit] --nosid
          root 4204 0.0 0.0 1544 440 tty1 Ss+ 14:32 0:00 /sbin/mingetty tty1
          root 4205 0.0 0.0 1548 444 tty2 Ss+ 14:32 0:00 /sbin/mingetty tty2
          root 4206 0.0 0.0 1544 436 tty3 Ss+ 14:32 0:00 /sbin/mingetty tty3
          root 4207 0.0 0.0 1548 444 tty4 Ss+ 14:32 0:00 /sbin/mingetty tty4
          root 4208 0.0 0.0 1548 444 tty5 Ss+ 14:32 0:00 /sbin/mingetty tty5
          root 4209 0.0 0.0 1544 436 tty6 Ss+ 14:32 0:00 /sbin/mingetty tty6
          501 4224 0.0 1.9 24720 9912 ? S 14:32 0:00 klauncher [kdeinit]
          501 4273 0.0 2.8 28356 14920 ? S 14:32 0:03 kded [kdeinit]
          501 4275 0.0 0.2 2596 1392 ? S 14:32 0:03 /usr/lib/gam_server
          501 4281 0.0 2.2 24772 11816 ? S 14:32 0:00 kaccess [kdeinit]
          501 4289 0.0 1.5 29736 8124 ? S 14:32 0:01 /usr/bin/artsd -F 9 -S 4096 -d -s 1 -m artsmessage -c drkon
          501 4292 0.0 0.0 1540 340 ? S 14:32 0:00 kwrapper ksmserver
          501 4295 0.0 2.2 24412 11456 ? S 14:32 0:00 ksmserver [kdeinit]
          501 4299 0.0 3.0 27412 15508 ? S 14:32 0:06 kwin [kdeinit] -session 117f0000010001093898165000000291500
          501 4306 0.0 3.1 30916 16120 ? S 14:32 0:02 knotify [kdeinit]
          501 4317 0.0 3.2 28404 16532 ? S 14:32 0:06 kdesktop [kdeinit]
          501 4330 0.0 0.1 2544 844 ? S 14:32 0:00 xsettings-kde
          501 4333 0.1 3.6 30640 18976 ? S 14:32 0:43 kicker [kdeinit]
          501 4334 0.0 1.8 23580 9648 ? S 14:32 0:00 kio_file [kdeinit] file /home/montaigne/tmp/ksocket-montaig
          501 4345 0.0 3.1 28052 16104 ? S 14:32 0:02 konsole [kdeinit] -session 117f0000010001105998851000000425
          501 4358 0.0 3.2 28612 16736 ? S 14:32 0:06 konsole [kdeinit] -session 117f0000010001117214254000000450
          501 4359 0.0 2.9 37228 15132 ? Sl 14:32 0:02 nautilus --sm-config-prefix /nautilus-hpoPa4/ --sm-client-i
          501 4362 0.0 4.7 37968 24472 ? S 14:32 0:06 konqueror [kdeinit] -session 1014cd7d2d40001135760380000000
          501 4363 0.0 2.7 27212 14288 ? S 14:32 0:01 korgac --miniicon korganizer
          501 4368 0.0 0.5 5436 2908 ? Ss 14:32 0:00 /usr/lib/bonobo-activation-server --ac-activate --ior-outpu
          501 4369 0.0 3.1 26872 16324 ? S 14:32 0:04 kjots -session 1014cd7d2d4000113456508500000041930011_11359
          501 4370 0.1 3.0 28260 15556 ? S 14:32 0:26 /usr/bin/gaim --session 1014cd7d2d4000113568948300000042930
          501 4371 0.0 3.5 32916 18452 ? S 14:32 0:01 konqueror [kdeinit] --preload
          501 4375 0.0 1.8 24328 9660 ? S 14:32 0:00 kalarmd
          501 4380 0.0 0.7 9188 3780 ? Sl 14:32 0:00 /usr/lib/gnome-vfs-daemon --oaf-activate-iid=OAFIID:GNOME_V
          501 4394 0.0 0.3 3272 1932 pts/1 Ss+ 14:33 0:00 /bin/bash
          501 4396 0.0 0.3 3280 1952 pts/2 Ss+ 14:33 0:00 /bin/bash
          501 4398 0.0 0.3 3268 1944 pts/3 Ss+ 14:33 0:00 /bin/bash
          501 4408 0.0 0.3 3268 1932 pts/4 Ss+ 14:33 0:00 /bin/bash
          501 4412 0.0 0.3 3268 1932 pts/5 Ss+ 14:33 0:00 /bin/bash
          501 4424 0.0 0.1 2120 704 ? S 14:33 0:00 /usr/lib/mapping-daemon
          501 4426 0.0 0.3 3276 1952 pts/6 Ss 14:33 0:00 /bin/bash
          501 4436 0.0 0.3 3276 1936 pts/7 Ss+ 14:33 0:00 /bin/bash
          501 4440 0.0 0.3 3276 1932 pts/8 Ss+ 14:33 0:00 /bin/bash
          501 4472 0.0 0.3 3268 1932 pts/9 Ss+ 14:33 0:00 /bin/bash
          501 4474 0.0 0.3 3272 1936 pts/10 Ss+ 14:33 0:00 /bin/bash
          501 4504 0.0 0.3 3272 1932 pts/11 Ss+ 14:33 0:00 /bin/bash
          501 4508 0.0 0.3 3268 1944 pts/12 Ss+ 14:33 0:00 /bin/bash
          501 4530 0.0 0.3 3280 1944 pts/13 Ss 14:33 0:00 /bin/bash
          501 4574 0.0 0.3 3272 1932 pts/14 Ss+ 14:33 0:00 /bin/bash
          501 4638 0.0 0.3 3276 1936 pts/15 Ss+ 14:33 0:00 /bin/bash
          501 5048 0.0 0.2 2492 1220 ? S 15:41 0:00 /bin/sh /home/montaigne/Softs/firefox/firefox
          501 5051 0.0 0.2 3044 1516 ? S 15:41 0:00 /bin/sh /home/montaigne/Softs/firefox/run-mozilla.sh /home/
          501 5056 10.4 12.2 142688 62936 ? Sl 15:41 31:44 /home/montaigne/Softs/firefox/firefox-bin
          501 5153 2.9 4.7 29992 24408 ? S 16:33 7:30 /usr/bin/perl /usr/sbin/net_monitor
          501 8138 0.0 0.2 2476 1172 ? S 17:46 0:00 /bin/sh /usr/local/RealPlayer/realplay /home/montaigne/Docu
          501 8143 0.2 2.6 56540 13520 ? Sl 17:46 0:31 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
          501 8145 0.0 1.3 22204 7136 ? S 17:46 0:00 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
          501 8146 0.0 1.3 22204 7136 ? S 17:46 0:00 /usr/local/RealPlayer/realplay.bin /home/montaigne/Document
          501 10576 0.0 0.2 2308 1088 pts/6 S+ 18:26 0:00 bc
          root 14844 0.0 0.2 2572 1212 pts/13 S 19:40 0:00 su
          root 14849 0.0 0.5 3736 2592 pts/13 S 19:40 0:00 bash
          root 16602 0.0 0.1 2592 828 pts/13 R+ 20:45 0:00 ps aux

          « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

          • [^] # Re: Processus ?

            Posté par  . Évalué à 7.

            Hé bé.
            Bon, ce n'est pas Online : il n'y a pas de mdkapplet qui tourne, et de toutes façons, rien n'y fait une requête sur ns2 en http.

            Par contre, ça pourrait tout simplement être la page de démarrage par défaut ; elle contient un javascript qui diagnostique si le poste client est en ligne ou pas, en faisant une requête web sur images.mandriva.com (qui se trouve avoir la même ip).

            Si tu ouvres 15 fenêtres de ton navigateur, effectivement, le js va s'activer 15 fois... à moins de pouvoir cacher localement l'état en js, ou de n'attribuer la page de démarrage par défaut qu'à la première instance. Si quelqu'un a une suggestion...
          • [^] # Re: Processus ?

            Posté par  (site web personnel) . Évalué à 2.

            Tu t'en sers, de mDNSResponder ?
  • # Les services et co?

    Posté par  (site web personnel) . Évalué à 6.

    Bonjour et bonne année :)

    Peut-être est-ce simplement les bidules du club et autres?
    Tu peux toujours tenter de faire pointer ce nom d'hôte vers une autre ip(dans le /etc/hosts), voir ce que ça donne, ou par sécurité si tu penses être espionné.
    L'autre solution, c'est de prendre contacts avec eux, et de le leur demander. Et de partager la réponse avec nous :)
    http://frontal1.mandriva.com/en/company/contact/feedback
  • # Je ne suis pas seul....

    Posté par  . Évalué à 3.

    Depuis que je suis passé à Mandriva 2006, j'ai l'applet "Moniteur Système" de Gnome qui m'indique un trafic réseau important alors que tcpdump ne perçoit aucune donnée.
    Je cherchais à comprendre pourquoi et en lançant la "surveillance réseau" j'ai eu un trafic important vers ns2.moondrake.net.http et en cherchant dans google je suis tombé sur ton problème
    Cela ne résoud pas ton problème ni le mien mais au moins on se sent moins seul :-)

    Reunig Kozh

  • # Info

    Posté par  (site web personnel) . Évalué à 1.

    Si on accède au port 80 de ns2.moondrake.net , on tombe sur :

    http://wwwnew.mandriva.com/

    C'est un site d'information pour Mandriva, en fait c'est même carrément la "home page" de http://www.mandriva.com/ , puique www.mandriva.com est redirigé sur wwwnew.mandriva.com :

    [olivier@. ~]$ telnet www.mandriva.com 80
    Trying 212.85.150.181...
    Connected to www.mandriva.com (212.85.150.181).
    Escape character is '^]'.
    GET http://www.mandriva.com/index.html
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

    301 Moved Permanently

    Moved Permanently
    The document has moved A HREF="http://wwwnew.mandriva.com/index.html">here /A.

    Apache-AdvancedExtranetServer/1.3.27 Server at www.mandriva.com Port 80

    Connection closed by foreign host.


    Par contre, le fait que tu vois des connexions sur "ns2.moondrake.net", vient de la manière dont Mandriva à rempli ses DNS.

    Je m'explique :
    - "netstat" voit des connexions vers l'adresse IP 212.85.150.181
    - Il lance alors une resolution de nom. C'est l'équivalent à la commande "host 212.85.150.181". Cela retourne le "ns2.moondrake.net" que tu reçois. Et ce nom est typiquement celui que l'on donne à un DNS.
    - Mais tu y fais dessus des requêtes HTTP. Des requêtes HTTP sur un serveur DNS ? C'est quoi ce bins ? Pas de panique !! Cette adresse IP heberge aussi d'autres serveurs/service :

    [olivier@. ~]$ host 212.85.150.181
    181.150.85.212.in-addr.arpa is an alias for 181.160/27.150.85.212.in-addr.arpa.
    181.160/27.150.85.212.in-addr.arpa domain name pointer ns2.moondrake.net.

    [olivier@. ~]$ host www.mandriva.com
    www.mandriva.com has address 212.85.150.181

    Donc en fait, le problème vient de connexions qui sont faites sur www.mandriva.com . Quel est le programme qui en est la cause, je ne sais pas (encore). Mais cela ne ressemble pas encore trop à un spyware, ou à un truc trop louche.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.