EDITADO: IP estranho e totalmente bizarro em logs de SystemD

1. EDITADO: IP estranho e totalmente bizarro em logs de SystemD

removido
(usa Nenhuma)

Enviado em 30/06/2017 - 01:57h

Estava fuçando aqui nos logs do SystemD, journal etc. e apareceu um IP na máquina que estou tentando saber o que é

82.165.8.211

Fui pesquisar e é lá da Alemanha.

https://localizarip.ovh/82.165.8.211

Será que é coisa do Poettering porque eu andei criando tópico anti-SystemD essa semana?

EDIT:

Continuei pesquisando mais e caí nesta página:

https://askdns.com/ip/82.165.8.211 e o resultado da página foi

castle-events.de	82.165.8.211	2017-06-12

castle-events.net	82.165.8.211	2017-05-31

castle-events.org	82.165.8.211	2017-06-05

Fui no Google para descobrir onde no inferno fica ou é Castle Events e eis que

http://www.castleevents.com/

O slogan do site é "The World’s Most Exclusive Eyes wide Shut Parties & Community"

Falta descobrir o que essa bosta está fazendo nos logs do meu sistema.

EDIT:

Falei, falei, falei ... melhor mostrar um trecho dos logs. O comando usado foi sudo journalctl -xe

jun 30 01:47:30 localhost connmand[673]: eth0 {add} address 192.168.x.x/28 label eth0 family 2

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 192.168.x.x gw 0.0.0.0 scope 253 <LINK>

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 192.168.x.x gw 0.0.0.0 scope 253 <LINK>

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 208.67.220.220 gw 192.168.x.x scope 0 <UNIVERSE>

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 208.67.222.222 gw 192.168.x.x scope 0 <UNIVERSE>

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 0.0.0.0 gw 192.168.x.x scope 0 <UNIVERSE>

jun 30 01:47:30 localhost connmand[673]: eth0 {add} route 82.165.8.211 gw 192.168.x.x scope 0 <UNIVERSE>

jun 30 01:47:31 localhost connmand[673]: eth0 {del} route 82.165.8.211 gw 192.168.x.x scope 0 <UNIVERSE>

Editei os meus IPs. Não oferecem perigo, mas não quero mostrar.

EDIT:

Eu postei na comunidade de OFF TOPICS mais como uma piada ou gozação. Tenho de admitir que após ver que esse é o nome de um WEB-INFERNINHO tive um cagaço ... Não conhecia, nunca vi e nunca entrei nesse site.

E agora?

0 0

Quote

2. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

homemsemnome
(usa Debian)

Enviado em 30/06/2017 - 02:24h

Que bagulho medonho esse site aí. Parece um ritual ocultista.
________________________________________________________________________

"I hate mankind, for I think myself one of the best of them, and I know how bad I am."
- Samuel Johnson

0 0

Quote

3. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

removido
(usa Nenhuma)

Enviado em 30/06/2017 - 02:35h

Não sei se você manja a referência, mas é o nome do último filme do Kubrick. https://pt.wikipedia.org/wiki/Eyes_Wide_Shut

O filme tem a ver TOTALMENTE com o site porque é uma coisa que rola na história. Eu me lembrei do tal lendário Hellfire Club. Aí sim tem uma pegada mais ocultista.

Eyes Wide Shut (De Olhos Bem Fechados no Brasil e em Portugal, embora em Portugal também apareça com o título original), é um filme americano-britânico de 1999, dirigido por Stanley Kubrick e estrelado pelo então casal-na-vida-real Nicole Kidman e Tom Cruise. É baseado no conto Traumnovelle, de Arthur Schnitzler.

Para saber mais sobre o livro e o autor do livro, dê um pulo no link.

1 0

Quote

4. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

homemsemnome
(usa Debian)

Enviado em 30/06/2017 - 02:54h

listeiro_037 escreveu:

Eu me lembrei do Baile dos Rothschild de 1972. '-'
________________________________________________________________________

"I hate mankind, for I think myself one of the best of them, and I know how bad I am."
- Samuel Johnson

1 0

Quote

5. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

removido
(usa Nenhuma)

Enviado em 30/06/2017 - 03:03h

Agora que você deu o nome, eu me lembrei e é isto mesmo.

1 0

Quote

6. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

removido
(usa Nenhuma)

Enviado em 30/06/2017 - 04:10h

Estou seguindo novas pistas. Estão me levando ao tal connmand (olhando parece que alguém escreveu command errado). Fui parar na Arch Wiki.

https://wiki.archlinux.org/index.php/Connman

Lá aparece o seguinte conteúdo:

Unknown route on connection

A log entry for an unknown route appears each time a connect is done. For example:
...

connmand[473]: wlp2s0 {add} route 82.165.8.211 gw 10.20.30.4 scope 0 <UNIVERSE>

connmand[473]: wlp2s0 {del} route 82.165.8.211 gw 10.20.30.4 scope 0 <UNIVERSE>

...
It likely is Connman performing a connectivity check to the ipv4.connman.net host (which resolves to the IP address 82.165.8.211 at current). See the Connman README for more information on why and what - apart from the connecting IP - it transmits.

While there is no option to configure the destination host of the check, the connection itself is functional (unless behind a captive portal) if the check is blocked by a firewall rule:

# ip6tables -A OUTPUT -d ipv6.connman.net -j REJECT

# iptables -A OUTPUT -d ipv4.connman.net,ipv6.connman.net -j REJECT

Agora a pista é connman.net e é só dar um ping para ver o que aparece:

$ ping -c 7 ipv4.connman.net

PING ipv4.connman.net (82.165.8.211) 56(84) bytes of data.



--- ipv4.connman.net ping statistics ---

7 packets transmitted, 0 received, 100% packet loss, time 6151ms

Pelo jeito o site que deu a pista do tal inferninho era furado. Devia ser algum tipo de propaganda rasteira. Começo a ficar um pouco mais tranquilo. É intrusivo o sistema ficar conectando esse site a cada desconexão desse jeito. É uma forma de marcar onde a pessoa está. Pode isso Arnaldo? Sinceramente, quantos de vocês já conheciam ou viram algo igual a esta merda que é feita?

Eu deveria ter criado este tópico numa comunidade de segurança, redes ou algo assim. É um assunto mais técnico. Ainda falta descobrir o que é esse tal Connman: https://en.wikipedia.org/wiki/ConnMan

ConnMan is an internet connection manager for embedded devices running the Linux operating system.

The Connection Manager is designed to be slim and to use as few resources as possible, so it can be easily integrated. It is a fully modular system that can be extended, through plug-ins, to support all kinds of wired or wireless technologies. Also, configuration methods, like DHCP and domain name resolving, are implemented using plug-ins. The plug-in approach allows for easy adaption and modification for various use cases.

Originally created as part of Intel's Moblin effort, it's now used by OpenELEC as well as Mer and therefore by Sailfish OS and Jolla, which are based on it.

É por isso que não há Network Manager ou WICD e as coisas funcionam aqui. É outro sistema de gerenciamento de rede.

<ADD>

Resolvi brincar com o perigo e meter um escaneamento de portas sem autorização neles (não é justo?):

$ nmap -p1-65535 ipv4.connman.net



Starting Nmap 7.40 ( https://nmap.org ) at 2017-06-30 04:34 -03

Stats: 0:03:02 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan

Nmap scan report for ipv4.connman.net (82.165.8.211)

Host is up (0.26s latency).

Not shown: 65531 filtered ports

PORT     STATE  SERVICE

80/tcp   open   http

443/tcp  closed https

587/tcp  closed submission

7778/tcp closed interwise



Nmap done: 1 IP address (1 host up) scanned in 317.00 seconds

</ADD>

Site do tal projeto: https://git.kernel.org/pub/scm/network/connman/connman.git/

Falta saber se ele é mais um produto com a qualidade SystemD de sempre. Voltamos a qualquer momento com novas informações.

3 0

Quote

7. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

homemsemnome
(usa Debian)

Enviado em 30/06/2017 - 05:06h

________________________________________________________________________

"I hate mankind, for I think myself one of the best of them, and I know how bad I am."
- Samuel Johnson

0 0

Quote

8. Re: EDITADO: IP estranho e totalmente bizarro em logs de SystemD

luiztux
(usa Gentoo)

Enviado em 30/06/2017 - 10:03h

Acredito que isto está relacionado ao fato do SystemD ter um tal serviço chamado systemd-resolved, que provê DNS para os programas. Há um CVE crítico relacionado à este serviço: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9445

Ele usa o nsswitch através das funções getaddrinfo() e gethostbyname(), isto significa que qualquer programa usando uma biblioteca DNS pode ignorar estas chamadas causando num DNS inconsistente do resto do sistema... isso é só o começo da porcalhada que os caras fazem neste software. Isto fica enviando teu DNS pra tudo quanto é lugar, o tempo todo e não verifica quando obtém uma resposta. Qualquer um pode te hackear.

Muitos desenvolvedores sérios se preocupam em como o SystemD é implementado, avisam o Poettering sobre isto em diversas convenções e o que o cara faz? Ignora-os.

Leia os fontes desta joça e você se desespera, literalmente. Parece que os caras fazem de propósito. Eu prefiro acreditar nisto do que pensar que nós temos estes códigos maliciosos, permitidos de bom grado, diga-se de passagem, em distros GNU/Linux. Procure acompanhar as convenções de desenvolvedores (as devconf) e você terá um panorama geral do que está acontecendo no GNU/Linux. =/

Muitos criticam quem critica o SystemD, chamando-nos de papagaios. Que apenas repete o que ouve. Muito bem.. que assim seja. Esta praga será a responsável por colocar um fim no restinho de liberdade que acreditávamos ter. Outros dizem pra criarmos um novo software e parar de criticar o trabalho dos outros. Eu digo: apoie os que já tem OpenRC (SysVinit) e Runit. Vamos melhorar ainda mais estes programas.

https://www.reddit.com/r/linux/comments/6jzz1g/ubuntu_security_notice_systemd_vulnerability/djixaui/">https://www.reddit.com/r/linux/comments/6jzz1g/ubuntu_security_notice_systemd_vulnerability/djixaui/

https://www.reddit.com/r/linux/comments/6jzz1g/ubuntu_security_notice_systemd_vulnerability/

-----------------------------------''----------------------------------

Larry, The Cow, uses Gentoo GNU/Linux

^__^
(oo)
(__)

"If it moves, compile it."

1 0

Quote