Forum Linux.debian/ubuntu Paquet étrange

Posté par  (site web personnel) .
Étiquettes : aucune
1
5
mar.
2011

Bonjour bonjour,

je regardais mon syslog et je vois plein de log bizarres genre :

Mar 5 15:23:11 brian neoip-webpack-bin[2788]: neoip_xmlrpc_listener.cpp:324:sresp_jsrest_cb() enter sresp_ctx=[reqhd=[method=GET uri=http://127.0.0.1:4570/neoip_casti_appdetect_jsrest.js?callback=jsonp_call_cb_2&method_name=probe_apps version=HTTP/1.1 header=[["Host"="127.0.0.1:4570"]["Connection"="keep-alive"]["Referer"="http://webpeer.it/"]["Accept"="/"]["User-Agent"="Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Ubuntu/10.10 Chromium/9.0.597.107 Chrome/9.0.597.107 Safari/534.13"]["Accept-Encoding"="gzip,deflate,sdch"]["Accept-Language"="fr-FR,fr;q=0.8,en-US;q=0.6,en;q=0.4"]["Accept-Charset"="ISO-8859-1,utf-8;q=0.7,*;q=0.3"]]] rephd=[version=HTTP/1.0 status code=200 reason phrase=OK header=[]] post_data=null response_body=] Mar 5 15:23:18 brian neoip-webpack-bin[2788]: neoip_upnp_bindport.cpp:263:neoip_upnp_call_addport_cb() enter upnp_err=OK Mar 5 15:24:06 brian neoip-webpack-bin[2788]: last message repeated 2 times Mar 5 15:24:06 brian neoip-webpack-bin[2788]: neoip_lib_session.cpp:427:neoip_zerotimer_expire_cb() enter session_exit_db.size()=5 Mar 5 15:24:06 brian neoip-webpack-bin[2788]: neoip_lib_session.cpp:428:neoip_zerotimer_expire_cb() Start stopping Mar 5 15:24:07 brian neoip-webpack-bin[2788]: neoip_lib_apps_helper.cpp:104:pidfile_remove() Failed to remove the pidfile at /home/fga/.var/run/neoip_webpack.pid due to ERROR (m_reason=Cant unlink() /home/fga/.var/run/neoip_webpack.pid errno=No such file or directory) Mar 5 15:24:07 brian neoip-webpack-bin[2788]: neoip_lib_apps_helper.cpp:147:urlfile_remove() Cant remove the config url file called /tmp/.neoip_debug_url.2788.http_url Mar 5 15:24:08 brian neoip-webpack-bin[2788]: neoip_lib_apps_helper.cpp:104:pidfile_remove() Failed to remove the pidfile at /home/fga/.var/run/neoip_webpack.pid due to ERROR (m_reason=Cant unlink() /home/fga/.var/run/neoip_webpack.pid errno=No such file or directory) Mar 5 15:24:08 brian neoip-webpack-bin[2788]: neoip_lib_apps_helper.cpp:147:urlfile_remove() Cant remove the config url file called /tmp/.neoip_debug_url.2788.http_url

Dans le fichier /tmp/.neoip_debug_url.2788.http_url j'ai http://127.0.0.1:9080. J'ai essayé en telnet après desinstallation du packet neoip-webpack, ca ne répond pas.

La ou ça m'inquiète, c'est que je me rappelle pas avoir installé ce paquet, il est dispo dans aucun repos et les seuls références que je trouve sont plutôt légères : http://www.google.fr/#q=neoip-webpack

Vous avez une idée ? je dois m'inquiéter ? heureusement, j'ai une nouvelle machine qui arrive bientôt, mais s'il faut que je change tous mes mots de passe ...

  • # Et ca date pas d'hier

    Posté par  (site web personnel) . Évalué à 1.

    Je retrouve des logs de 2008 mentionnant ce paquet ... mais ou est-ce que j'ai choppé ça !

    http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs

  • # à tout hazard

    Posté par  . Évalué à 2.

    ce ne serait pas un systeme de proxy ou d'anonymisation de ta connexion internet ?

    qui ferait passer toutes tes connexions dans un proxy sur le port 4570 ou 9080 ?

    • [^] # Re: à tout hazard

      Posté par  (site web personnel) . Évalué à 1.

      De ce que j'en ai compris c'est un système de p2p pour site web, pour alléger les sites. Mais je vois toujours pas comment j'ai pu récupérer ce truc ... bon d'après l'auteur, qui a l'air honnête, j'ai pas à m'inquiéter. Autant le paquet m'inquiète un peu même si je l'ai viré, autant avoir un paquet inconnu comme ça sans que je me rappelle l'avoir installé m'inquiète beaucoup plus.

      Avec le lancement de MPAE je deviens parano en plus, j'ai eu plusieurs trucs bizarres depuis :-)

      http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs

      • [^] # Re: à tout hazard

        Posté par  . Évalué à 2.

        Avec le lancement de MPAE je deviens parano en plus, j'ai eu plusieurs trucs bizarres depuis :-)

        tu les as eu depuis le lancement, ou tu examines un peu plus tes logs ?

        si tu les as uniquement depuis le lancement (facile à voir avec les dates) c'est que tu es peut-etre victime d'attaque, ou que le code de MPAE ou des lbs utilisées presentent une faille.

        si ca date de bien avant la mise en ligne de MPAE : de ce que je lis du syslog apparemment c'est un programme (neoip ?) qui plante

        et qui tournerait dans le home de fga

        Mar 5 15:24:07 brian neoip-webpack-bin[2788]: neoip_lib_apps_helper.cpp:104:pidfile_remove() Failed to remove the pidfile at /home/fga/.var/run/neoip_webpack.pid due to ERROR (m_reason=Cant unlink() /home/fga/.var/run/neoip_webpack.pid errno=No such file or directory)

        ca ressemblerait donc à un logiciel lancé par l'utilisateur et pas un service systeme.

        • [^] # Re: à tout hazard

          Posté par  (site web personnel) . Évalué à 1.

          pour neoip, c'est pas lié au lancement, plus au fait que je deviens parano. Mais pour MPAE, c'est entre autre que j'ai un utilisateur qu'a réussi à faire un truc impossible, j'ai toujours pas trouvé comment.

          http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs

        • [^] # Re: à tout hazard

          Posté par  (site web personnel) . Évalué à 1.

          ca ressemblerait donc à un logiciel lancé par l'utilisateur et pas un service systeme.

          Ah ouais, bonne remarque, je vais chercher de ce coté là.

          http://helpmequ.it: arrêter de fumer pour la bonne cause, http://mapetiteautoentreprise.fr : facturation libre pour les auto-entrepreneurs

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.