<div dir="ltr"><div>Hello</div><div><br></div><div>I was testing simpleproxy package</div><div>simpleproxy  -L 15439 -R <a href="http://myaddress.com:5439">myaddress.com:5439</a>  -v -t /tmp/trace<br></div><div><br></div><div>while reading /tmp/trace I've spotted strange rows in its verbose logging (it should contain "Read from: <a href="http://myaddres.com:5439">myaddres.com:5439</a>")</div><div>It does querry some <b><a href="http://abo.wanadoo.fr">abo.wanadoo.fr</a> </b>hosts</div><div><div><br></div><div>The 'strings /tmp/trace | less " log:</div><div>(...)<br></div><div>---------------- Read from: <a href="http://ANantes-655-1-144-239.w2-0.abo.wanadoo.fr:45039">ANantes-655-1-144-239.w2-0.abo.wanadoo.fr:45039</a> ---------------<br></div></div><div><div>SELECT character_value, version() FROM INFORMATION_SCHEMA.SQL_IMPLEMENTATION_INFO WHERE implementation_info_id = '17' or implementation_info_id = '18'</div><div>---------------- Read from: <a href="http://ANantes-157-1-186-63.w2-0.abo.wanadoo.fr:5439">ANantes-157-1-186-63.w2-0.abo.wanadoo.fr:5439</a> ---------------</div><div>character_value</div><div>version</div></div><div>(...)</div><div><br></div><div><b>Package details:</b></div><div><i>Package: simpleproxy</i></div><div><i>Priority: optional</i></div><div><i>Section: universe/net</i></div><div><i>Installed-Size: 69</i></div><div><i>Maintainer: Ubuntu Developers <<a href="mailto:ubuntu-devel-discuss@lists.ubuntu.com">ubuntu-devel-discuss@lists.ubuntu.com</a>></i></div><div><i>Original-Maintainer: Andrew Pollock <<a href="mailto:apollock@debian.org">apollock@debian.org</a>></i></div><div><i>Architecture: amd64</i></div><div><i>Version: 3.4-5</i></div><div><i>Depends: libc6 (>= 2.15)</i></div><div><i>Filename: pool/universe/s/simpleproxy/simpleproxy_3.4-5_amd64.deb</i></div><div><i>Size: 16834</i></div><div><i>MD5sum: b1458997cde90a48f02e58a6dd97c71a</i></div><div><i>SHA1: 4695e3bf2637a957f686ff2c5e0543db469b80e2</i></div><div><i>SHA256: dcf773faa7a216745959505c9d4c1a62a854a359e40fe7de6a7df62652d65f38</i></div><div><i>Description-en: Simple TCP proxy</i></div><div><i> simpleproxy acts as a simple TCP proxy. It opens a listening socket on</i></div><div><i> the local machine and forwards any connection to a remote host. It can be</i></div><div><i> run as a daemon or through inetd.</i></div><div><i>Description-md5: df90d17ba3792463ed98517f2afe2512</i></div><div><i>Homepage: <a href="http://www.sourceforge.net/projects/simpleproxy">http://www.sourceforge.net/projects/simpleproxy</a></i></div><div><i>Bugs: <a href="https://bugs.launchpad.net/ubuntu/+filebug">https://bugs.launchpad.net/ubuntu/+filebug</a></i></div><div><i>Origin: Ubuntu</i></div><div><br></div><div>I did look at tcpdump:</div><div><br></div><div><div>12:31:54.815380 IP 10.18.0.6.45062 > 10.118.0.19.15439: Flags [P.], seq 617:689, ack 1060, win 254, options [nop,nop,TS val 402986021 ecr 57180214], length 72</div><div><b>12:31:54.815468 IP 10.118.0.19.58111 > 10.118.0.2.53: 10512+ PTR? 176.176.0.2.in-addr.arpa. (40)</b></div><div><b>12:31:54.815705 IP 10.118.0.2.53 > 10.118.0.19.58111: 10512 1/0/0 PTR <a href="http://ANantes-650-1-45-6.w2-0.abo.wanadoo.fr">ANantes-650-1-45-6.w2-0.abo.wanadoo.fr</a>. (92)</b></div><div>12:31:54.815746 IP 10.118.0.19.34040 > myaddress.com.5439: Flags [P.], seq 617:689, ack 1060, win 254, options [nop,nop,TS val 57180227 ecr 896665995], length 72</div></div><div><br></div><div><div>12:31:54.836881 IP 10.118.0.19.34040 > myaddress.com.5439: Flags [.], ack 1152, win 254, options [nop,nop,TS val 57180233 ecr 896666014], length 0</div><div><b>12:31:54.836932 IP 10.118.0.19.53146 > 10.118.0.2.53: 62285+ PTR? 63.21.0.2.in-addr.arpa. (40)</b></div><div><b>12:31:54.837177 IP 10.118.0.2.53 > 10.118.0.19.53146: 62285 1/0/0 PTR <a href="http://ANantes-157-1-186-63.w2-0.abo.wanadoo.fr">ANantes-157-1-186-63.w2-0.abo.wanadoo.fr</a>. (94)</b></div><div>12:31:54.837216 IP 10.118.0.19.15439 > 10.18.0.6.45062: Flags [P.], seq 1060:1152, ack 689, win 243, options [nop,nop,TS val 57180233 ecr 402986021], length 92</div></div><div><b><br></b></div><div><b>dig -t ptr 160.176.0.2.in-addr.arpa</b><br></div><div>revils the same address</div><div><br></div><div><br></div><div>It seems that it is only DNS querry, just for l<u>oggin porpouse,</u> I <b>haven't spot</b> any direct communication to *<a href="http://abo.wanadoo.fr">abo.wanadoo.fr</a><b> </b>hosts, but WHY does it even querry that hosts?</div><div><br></div><div><div><b>strings /usr/bin/simpleproxy  |grep 'Read from'</b></div><div>---------------- Read from: %s ---------------</div></div><div><br></div><div><br class=""><b>grep /usr/bin/simpleproxy -e 63.21.0.2</b><br></div><div>[nothing]</div><div><br></div><div>I did try to look for a source code to see what is wrong.</div><div><br></div><div>Could anyone take a look is this package secure?</div><div><br></div><div>Greetings</div><div>Sirkubax</div></div>