Logs bizarres

Forum dédié aux questions concernant la configuration de votre serveur sous Linux
salinois
Messages : 330
Inscription : 08 févr. 2024, 19:10

Logs bizarres

Message par salinois »

Bonsoir,

je vois ces logs (en plus des logs normales ) que j'ai redirigées sur mon serveur de Logs " rsyslog" qui arrivent de depuis Domoticz;
2025-11-30T12:26:58.118433+01:00 domoticz myst[2827]: #033[90m2025-11-30T12:26:58.117#033[0m #033[33mDBG#033[0m #033[1msession/pingpong/price_calculator.go:52 #033[0m#033[36m >#033[0m Calculated price 948611068130128464. Time component: 1.5321876736763783965e+16, data component: 9.3328919139336468125e+17. Transferred: 11233871892, duration: 185502.206802027. Price 297348248321469/h, 89204474496440741/GiB
elles arrivaient dans le fichier syslog. Est-ce normal ? A quoi ça correspond ? j'ai cherché avec le mot myst , pas trouvé !!!
voici ma conf , rsyslog.conf et domotics.sh

rsyslog.conf:

Code : Tout sélectionner

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")

*.* @192.168.0.205:514   ##### serveur loganalyzer
*.* @@192.168.0.205:514
local1 -/var/log/domoticz.log

###############
#### RULES ####
###############

#
# Log anything besides private authentication messages to a single log file
#
#*.*;auth,authpriv.none		-/var/log/syslog

#
# Log commonly used facilities to their own log file
#
auth,authpriv.*			/var/log/auth.log
cron.*				-/var/log/cron.log
kern.*				-/var/log/kern.log
mail.*				-/var/log/mail.log
user.*				-/var/log/user.log

#
# Emergencies are sent to everybody logged in.
#
*.emerg				:omusrmsg:*

domoticz.sh

Code : Tout sélectionner

PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin
DESC="Domoticz Home Automation System"
NAME=domoticz
USERNAME=patrick
PIDFILE=/var/run/$NAME.pid
SCRIPTNAME=/etc/init.d/$NAME

export PYTHONPATH=/Domoticz_Python_Environment:$PYTHONPATH

DAEMON=/domoticz/$NAME
DAEMON_ARGS="-daemon"
#DAEMON_ARGS="$DAEMON_ARGS -daemonname $NAME -pidfile $PIDFILE"
DAEMON_ARGS="$DAEMON_ARGS -www 8080"
DAEMON_ARGS="$DAEMON_ARGS -sslwww 443"
#DAEMON_ARGS="-loglevel normal -/var/log/domoticz.log local1 -www 8080"
DAEMON_ARGS="$DAEMON_ARGS -log /var/log/domoticz.log"
DAEMON_ARGS="$DAEMON_ARGS -syslog local1"

salinois
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Logs bizarres

Message par lost »

Un lien avec mysterium network present sur github ?
Un VPN distribué a priori... mais si c'est pas toi qui l'a mis en place...
salinois
Messages : 330
Inscription : 08 févr. 2024, 19:10

Re: Logs bizarres

Message par salinois »

hello Lost,

non , j'ai rien fait de ce côté là !!!
est-ce par défaut sur la machine ? ou un lien avec Bookworm qui est mon OS.

a+

salinois
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Logs bizarres

Message par lost »

AMHA, Debian qqsoit le version est totalement étranger à des logs de noeud myst network comme on peut en voir dans leurs issues github:
https://github.com/mysteriumnetwork/node/issues/6065

Ce que je veux dire, c'est que si ce n'est pas toi qui a installé cela ou qqchose qui le tire en dépendance c'est forcément qqun d'autre. Bref, ça pourrait sentir la vérole, surtout qu'il semble y avoir de l'argent à se faire! :twisted:
https://www.mystnodes.com/
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Logs bizarres

Message par lost »

Le script d'install est ici:
https://raw.githubusercontent.com/myste ... install.sh

A toi de voir si tu as un /etc/apt/sources.list.d/mysterium.list ajouté à tes dépôts (ainsi que les clefs de depots récemment ajoutées dans /etc/apt/keyrings) mais bon, il faudrait que ce soit un script kiddie pas très discret pour être passé par ce script.

Sinon il doit bien y avoir des traces autres à chercher côté services configurés, process lancés, connections réseau ouvertes...

Mais j'aurais cela chez moi sans avoir rien fait pour l'avoir une petite lumière rouge s'allumerait instantanément. J'espère néanmoins me tromper.
salinois
Messages : 330
Inscription : 08 févr. 2024, 19:10

Re: Logs bizarres

Message par salinois »

merci Lost.

Alors effectivement, j'ai ça dans sources.list, que je viens de commenter.
et keyring
ls -ail /etc/apt/keyrings/
total 16
266 drwxr-xr-x 2 root root 4096 Apr 11 2025 .
56 drwxr-xr-x 9 root root 4096 Dec 1 17:52 ..
1408 -rw-r--r-- 1 root root 3817 Apr 11 2025 docker.asc
18585 -rw-r--r-- 1 root root 2898 Apr 4 2025 ookla_speedtest-cli-archive-keyring.gpg
Je n'ai rien installer depuis mon install initiale du mois d'avril 2025.
apres j'ai installé tout ce qui concerne le plugin "Zigbee4domotics" et le dernier "rsyslog" ; le speedtest date de l'install initiale;
je vais essayer de voir dans les logs depuis le début si je retrouve.

trouvé ça aussi et la date vient de l'installation initiale !!!
/var/log
mysterium-node.jpg
mysterium-node.jpg (6.04 Kio) Consulté 1250 fois
mysterium-node_1.jpg
mysterium-node_1.jpg (21.07 Kio) Consulté 1250 fois
merci de m'avoir mis sur la piste...je vais le désinstaller ?

salinois
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Logs bizarres

Message par lost »

AMHA, faut comprendre ce qui a amené cela et comment. Sinon cela (ou plus subtil) va revenir.

A voir un nom de script, les DNS utilisés ne sont plus forcément de confiance non plus...

Je vois qu'il y a du docker: Personnellement j'aime pas le concept de violer le concept de conteneur pour s'éviter de gérer (et limiter!) ses dépendances proprement, à la base.

Mais niveau sécurité, on tire des trucs qui ne viennent pas de dépôts de distros bien tenus, que la plupart des utilisateurs ne maîtrisent pas et avec tétrachiée de trucs tirés derrière son dos, car tout projet non réalisé en mode quick&dirty n'a pas besoin d'emmerder le monde avec Docker (dans son utilisation désormais majoritaire).

=> Le syndrome npm (javascript) ou pypi (python) guette, en bien plus prometteur encore (portabilité sans s'emmerder à gérer ce sur quoi on tourne permettant une bonne généricité des véroles)!

Mais bon, c'est pas forcément Docker non plus (ou autre truc installé d'une source douteuse) mais peut-être une compromission plus classique (bruteforce d'accès si ouverts sur l'extérieur... ou qu'une autre machine de son LAN est vérolée et tente sa chance sur ce qui s'y trouve par ailleurs ; exploitation d'une faille...): Note que le serveur ssh peut-être configuré (pour des besoins de développement/debug, mais n'importe qui avec droits root peut le faire) pour exposer un login complet (au choix, juste le nom utilisateur qui se connecte ou tente... mais un cran plus loin, le mode de passe utilisé), c'est d'ailleurs assez rigolo à faire tourner ainsi (sur une machine dédiée) si on veut se faire rapidement une BDD de couples login+passwd de hacker.

A mon sens, le plus sûr est de considérer la machine comme compromise et repartir d'une install totale OS+Domoticz et ne réintégrer que la BDD et ses scripts éventuels (qui n'y soient pas logés). Bien entendu, ne pas se connecter (ssh...) de la machine compromise vers une autre sur son réseau pour récupérer tout cela, mais faire l'inverse. Afin de ne pas exposer côté compromis les accès d'autres machines sur son LAN! Mieux vaut utiliser les accès de la machine compromise qui le sont potentiellement aussi (j'espère que tu n'utilises pas les mêmes sur d'autres machines chez toi, cependant, sinon les merdes vont voler en escadrille).

Et ne pas réutiliser tout accès (mots de passe...) qui ait été "connu" à minima de la machine compromise, voir utilisé sur son LAN via des protocoles en clair.
salinois
Messages : 330
Inscription : 08 févr. 2024, 19:10

Re: Logs bizarres

Message par salinois »

merci Lost pour ton retour,

déjà comme tout est désinstallé, je continue de vérifier.
Ainsi que tous les Raspberry que j'ai, aucune trace de ce soft.
a+
merci

salinois
Répondre