Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Lionel]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.
En fait, le logiciel plutôt que d'installer quoique ce soit, va changer le DNS de la machine.
Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.
Il installe également une routine vérifiant régulièrement que le DNS n'a pas été entre temps modifié et veille à remettre le malicieux.

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.




Je sais que c'est un sujet toujours ultra sensible dans la communauté Mac. Pour une fois, traitez le froidement et sans excitation. Merci d'avance.

[elub88]

je trouves ça assez marrant, au dela du fait du "virus" en lui même.

c'est les mecs de Intego qui vont sur des sites porno ou c'est un truc automatique qui détecte ce genre de virus...?

[DOMY]

Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.

Mouais ... rien de bien inquiétant, quoi !
Mais autant que certains le sachent ...

[Flake68]

erf les emmerdes commencent ...

[DOMY]

erf les emmerdes commencent ...

Bof ... il y a environ 2 ans un virus basé sur le même principe baptisé " Opener " ou " Renepo " suivant les cas, est apparu, et il est mort né !

[dexter_]

Rien de nouveau sous le soleil.
C'est toujours le virus qu'il faut installer soi-même en donnant le mot de passe admin pour qu'il fasse quelque chose !

[Poisson_Pilote]

Du coup, la vieille blague du "virus unix" devient réelle...qui y'aurait cru ? ^

[DOMY]

C'est toujours le virus qu'il faut installer soi-même en donnant le mot de passe admin pour qu'il fasse quelque chose !

Voilà ... tant qu'il faudra les installer soi-même, pas de quoi flipper !

[Lionel]

Rien de nouveau sous le soleil.
C'est toujours le virus qu'il faut installer soi-même en donnant le mot de passe admin pour qu'il fasse quelque chose !

D'où le nom cheval de Troie.
J'ai rajouté dans la news des explications sur les DNS pour les non familiers.

[hellomorld]

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.

Somme toute, c'est plutôt assez rassurant je trouve. En principe on s'en prend toujours au point faible d'un système pour l'attaquer. Désormais le point faible c'est l'utilisateur (et c'est une bonne pioche, ce dernier ne sera jamais sécurisé, et il y aura toujours des "trous" !)

[DOMY]

Du coup, la vieille blague du "virus unix" devient réelle...

Virus " IKEA " ... à monter soi même !!!

[Lionel]

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.

Somme toute, c'est plutôt assez rassurant je trouve. En principe on s'en prend toujours au point faible d'un système pour l'attaquer. Désormais le point faible c'est l'utilisateur (et c'est une bonne pioche, ce dernier ne sera jamais sécurisé, et il y aura toujours des "trous" !)

J'ai toujours su que j'étais le facteur limitant de mes ordinateurs. Plus le temps passe, plus c'est vrai

[DOMY]

J'ai toujours su que j'étais le facteur limitant de mes ordinateurs. Plus le temps passe, plus c'est vrai

Allons bon ... si le chef se dévalorise lui même, c'est foutu !

[GhisDiem]

Ah ben si ce virus se trouve sur des sites pornos, sortez couverts

[mission.qc]

Une question , comment les gars d'intengo l'ont trouvé????
Du coup çà donne une excuse pour ceux qui se font attrapper par leur femme : cheri tu fais quoi la? euuuuuuuuuu je recherche s'il y a pas de virus ou autres trojan pour mac!!!!!

[michel78]

Il y a des utilisateurs Mac qui vont sur les sites porno ?

On m'aurait menti ?

[Poisson_Pilote]

Il y a des utilisateurs Mac qui vont sur les sites porno ?

On m'aurait menti ?

Que des switchers

[Shard]

Je trouve très bien le fait qu'il soit précisé que c'est un cheval de troie, et non un virus (mais on voit quand même le mot "virus" dans les premières réponses...). Un virus ne nous demande pas notre avis, il s'installe en fourbe et se distribue.
Les sites de news pécé vont s'en donner à cœur joie, et encore plus les anti-Apple (on se demande si ils ne sont pas anti-tout ce qui marche bien en fait).

[DOMY]

Les sites de news pécé vont s'en donner à cœur joie,

Et Intego va augmenter son chiffre d'affaire de ...... 0,3 % au moins !!!

[manu chao]

On pourrait 'bookmarquer' l'adresse IP de sa banque au lieu du nom

[Jaguar]

Une condition essentielle pour faire d’un programme malveillant un virus, est qu’il se propage seul. Or ce n’est ici pas le cas. Donc n’employez pas le terme "virus" dans les posts.

[Guest_macminig4_*]

J'ai toujours su que j'étais le facteur limitant de mes ordinateurs. Plus le temps passe, plus c'est vrai

Allons bon ... si le chef se dévalorise lui même, c'est foutu !

au contraire c'est un auto-compliment caché

[trouspinette]

Salut à tous,

Je viens de finir de paramétrer notre DNS Server au bureau, peaufiné à l'aide d'OpenDNS (le DNS forwarde les requêtes sur OpenDNS seul).

Miracle, OpenDNS peut bloquer les sites porno* & de phishing

Of course, il faudrait aussi que je bloque les requêtes DNS du LAN vers le WAN (firewall) et que seul le DNS Server fasse les requêtes.

L'inscription sur OpenDNS est gratuite, il faut soit une IP fixe, soit utiliser un client pour la mise à jour en cas d'IP dynamique. On peut coller le logo de sa boite, bloquer des sites, avoir des white-lists, etc...

Trop cool OpenDNS, on a avait déja parlé, mais on est carrémént dans le vif du sujet avec ce topic

Ciao.


Ce message a été modifié par trouspinette - 31 Oct 2007, 19:40.

[Cochise]

... alors méfions -nous de ces virus peut-être montés comme euh... des cheveaux de troie

[Rikle_S]

C'est peut etre le début de la me*** ça pourrait etre vrai, mais pour les 3/4 des users mac, je pense que ce genre de soucis n'en sont pas, chacuns sait qu'il ne faut pas rentrer son mot de passe sur un soft de site XxXxX

Rien de bien méchant, un petit troyen comme il doit en exister d'autres, mais garde quand meme hein

[Palladium]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.

C'est quoi l'adresse du/des site concernés????
C'est juste pour vérifier l'info, que ce soit bien clair entre vous et moi.

Ce message a été modifié par Palladium - 31 Oct 2007, 19:47.

[Guest_macminig4_*]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur l' obsédité de certains...

avant d'être geek, il est plus naturel d'être obsédé (sauf chez les mbidouilleurs bien sûr )

[Mac-Nico-book]

est-ce que hormis la prudence un anti-virus pourrai trouver ce "virus?"

Et tu faite que les parts de marché augmentent rapidement, cela "pourrait?" développer ce genre de pratique et de virus. Devra t-on avoir obligatoirement un anti-virus comme sur un pc ? (pas forcement dans l'immédiat)

Et avec léopard la sécurité ? améliorée ??

[tché]

Un chose m'étonnes dans cette méthode: si le nom du serveur peut-être spoofé par un changement du DNS (ou par une écriture dans le fichier host, ce qui serait selon moi encore plus discret sous OS X car pas directement visible dans les panneaux de configuration), le certificat fourni sur le pseudo paypal ou ebay ne pourra désigner l'URL en question tout en étant validé par une autorité de certification... les navigateurs devraient grogner à un moment ou à un autre...

[Pasclairix]

Merci pour l'explication sur les serveurs DNS : je dormirai toujours idiot mais un peu moins !
Et pour être encore moins idiot, comment peut-on savoir à quel serveur DNS le mac fait-il une requête ?

[Fabricius]

Je sens que les PCistes se fendront la tronche sur nous ...
Et oui nous n'avons qu'un cas depuis 2 ans, alors que eux c'est ce qu'ils ont en 1h ...

Fabricius

[romuald]

Juste une petite précision, ce genre d'"attaque" (changement des DNS pour rediriger vers un serveur qui va intercepter les mots de passe) est normalement visible lorsque vous vous rendez sur un site connu genre ebay/paypal, et que Safari (ou un autre navigateur ) vous averti d'un problème avec le certificat SSL, comme quoi le nom du certificat ne correspond pas à l'adresse IP du serveur.

Vu qu'une majorité d'utilisateurs cliquent tout de même sur "ok, continue c'est pas grave", le serveur peut tout de même intercepter les mot de passe / CB du client.

[Touch78]

1 faut aller sur un site porno (je ne juge pas chacun fait ce qu'il veut mais tout le monde doit savoir que ce genre de site est générateur de #@&# en tout genre)

2 après, de ce site, faut avoir confiance pour téléchargé un .dmg pour "mettre à jour" je ne sais quoi...

3 faut lancer le .dmg et entrer son mot de passe administrateur...


4 donner son n° de carte bleue, son code secret et son n° de sécu aussi ça peut servir... ce que l'excité du zboub dégaine aussitôt...

5 nan j'déconne là..


6 tant que ces Chevaux de Troie seront aussi finauds, 99% des utilisateurs n'auront rien à craindre... mais ça peut changer.

[jib]

Bonjour,

Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem. et là je vois pas comment ce cheval de troie peux prendre la main sur le modem avec le pass admin du mac pour activé le dns dynamique etc ...
concernant les ip fixes et les DNS renseignés manuellement dans les configs réseaux il est probable que cela se passe au boulot et là normalement les admins réseaux si ils font bien leur taf empechera les petits malins à aller sur des sites porno pour télécharger des .dmg ou autres trucs ... bref à mon sens beaucoup de bruits pour pas grand choses ... Sinon les amateurs d'informatique qui configure leur modem avec ip fixe je pense qu'ils savent un peu ce qu'ils font ...
en plus il s'agit effectivement comme cité plus haut de jouer sur la crédulité des internautes et franchement donner son pass admin de son ordi sur un site porno me parait similaire à filer tous ces identifiants banquaire sur un site russe qui promet monts et merveilles ...

[buzz]

Du coup, la vieille blague du "virus unix" devient réelle...

Virus " IKEA " ... à monter soi même !!!

+1

[orangina_rouge]

Vous me corrigez si je dis une connerie:
Dans préférences systèmes / réseaux, tu peux voir la case Serveurs DNS. Pour voir s'ils sont bien ceux de ton FAI, tu compares avec cette liste:
http://www.zonehd.net/dossier/les-dns-des-fai-haut-debit/

Par exemple, pour Free c'est:
DNS Primaire Free : 212.27.53.252
DNS Secondaire Free : 212.27.54.252
DNS Tertiaire Free : 212.27.32.177



Ce message a été modifié par orangina_rouge - 31 Oct 2007, 20:02.

[hellomorld]

Je sens que les PCistes se fendront la tronche sur nous ...
Et oui nous n'avons qu'un cas depuis 2 ans, alors que eux c'est ce qu'ils ont en 1h ...

Fabricius

Ca m'étonnerait fort que ce site porno ne s'attaque qu'aux mac, la manip doit fonctionner aussi bien sinon mieux sous XP/Vista (d'autant sur ce dernier qu'on est assailli à chaque clic d'avertissement en tout genre, donc un de plus parmi tant d'autres...). A moins que la modification de l'adresse DNS soit mieux protégé, ce dont je doute...

[HawkBiker]

C'était inévitable ! Je ne vois pas pourquoi des choses qui fonctionnent sur PC ne s'adapteraient pas sur nos Mac préférés.
J'étais sûr que ça allait arriver, la seule chose que je ne savais pas était :quand ? Maintenant je sais

[dawar]

Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem. et là je vois pas comment ce cheval de troie peux prendre la main sur le modem avec le pass admin du mac pour activé le dns dynamique etc ...

Comme dit plus haut, ce troyen "attaque" surement le fichier hosts. Ce fichier bien pratique permet de déterminer certaines correspondances nom -> IP, et la quelque soit le DNS utilisé ça marche.

Un test simple : ouvrez en administrateur /etc/hosts, puis ajouter la ligne : 216.239.59.104 gogo

Sauvez, puis dans un navigateur, ouvrer http://gogo/

Et voila, c'est google, le fichier hosts à compris que gogo c'était l'IP de google, quelque soit votre config DNS.

[inico]

Bonjour,

Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem. et là je vois pas comment ce cheval de troie peux prendre la main sur le modem avec le pass admin du mac pour activé le dns dynamique etc ...
concernant les ip fixes et les DNS renseignés manuellement dans les configs réseaux il est probable que cela se passe au boulot et là normalement les admins réseaux si ils font bien leur taf empechera les petits malins à aller sur des sites porno pour télécharger des .dmg ou autres trucs ... bref à mon sens beaucoup de bruits pour pas grand choses ... Sinon les amateurs d'informatique qui configure leur modem avec ip fixe je pense qu'ils savent un peu ce qu'ils font ...
en plus il s'agit effectivement comme cité plus haut de jouer sur la crédulité des internautes et franchement donner son pass admin de son ordi sur un site porno me parait similaire à filer tous ces identifiants banquaire sur un site russe qui promet monts et merveilles ...

D'apres ce que j'ai compris, le trojan demande au systéme, via 2 moyens differents (un cron executé toute les x minutes et un appel à scutils ), d'ajouter quoiqu'il arrive ses DNS devant toutes les autres.
Dans ce cas, même en DHCP, les dns utilisé seront ceux du trojan.
Et comme personne ne filtre udp/53, ca fonctionnera.

Enfin, c'est pas trop méchant.
J'attend toujours le trojan qui utilise ptrace pour s'injecter dans les processus.

[LooKman]

Bonsoir,

pour contourner la déroute DNS, le meilleur moyen n'est il pas de passer par un moteur de recherche pour accéder a des sites sensibles ( comme Banques ou autres…) ??

Bon encore faut-il que le moteur de recherche ne soit pas une contrefaçon, mais à ce stade on aurait affaire a un trafique énorme bien organisé

[jib]

Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem. et là je vois pas comment ce cheval de troie peux prendre la main sur le modem avec le pass admin du mac pour activé le dns dynamique etc ...

Comme dit plus haut, ce troyen "attaque" surement le fichier hosts. Ce fichier bien pratique permet de déterminer certaines correspondances nom -> IP, et la quelque soit le DNS utilisé ça marche.

Un test simple : ouvrez en administrateur /etc/hosts, puis ajouter la ligne : 216.239.59.104 gogo

Sauvez, puis dans un navigateur, ouvrer http://gogo/

Et voila, c'est google, le fichier hosts à compris que gogo c'était l'IP de google, quelque soit votre config DNS.

sauf erreur pour editer le fichier hosts on ne peux le faire qu'avec le compte root et non pas avec le compte admin ...
sudo nano /etc/hosts

...

[Guest_macminig4_*]

est-ce que hormis la prudence un anti-virus pourrai trouver ce "virus?"

Et tu faite que les parts de marché augmentent rapidement, cela "pourrait?" développer ce genre de pratique et de virus. Devra t-on avoir obligatoirement un anti-virus comme sur un pc ? (pas forcement dans l'immédiat)

Et avec léopard la sécurité ? améliorée ??

aucun antivirus sur mon pc (le ptit vaio) ... c'est mon modem routeur qui fait tout ! et bien

[jib]

Bonjour,

Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem. et là je vois pas comment ce cheval de troie peux prendre la main sur le modem avec le pass admin du mac pour activé le dns dynamique etc ...
concernant les ip fixes et les DNS renseignés manuellement dans les configs réseaux il est probable que cela se passe au boulot et là normalement les admins réseaux si ils font bien leur taf empechera les petits malins à aller sur des sites porno pour télécharger des .dmg ou autres trucs ... bref à mon sens beaucoup de bruits pour pas grand choses ... Sinon les amateurs d'informatique qui configure leur modem avec ip fixe je pense qu'ils savent un peu ce qu'ils font ...
en plus il s'agit effectivement comme cité plus haut de jouer sur la crédulité des internautes et franchement donner son pass admin de son ordi sur un site porno me parait similaire à filer tous ces identifiants banquaire sur un site russe qui promet monts et merveilles ...

D'apres ce que j'ai compris, le trojan demande au systéme, via 2 moyens differents (un cron executé toute les x minutes et un appel à scutils ), d'ajouter quoiqu'il arrive ses DNS devant toutes les autres.
Dans ce cas, même en DHCP, les dns utilisé seront ceux du trojan.
Et comme personne ne filtre udp/53, ca fonctionnera.

Enfin, c'est pas trop méchant.
J'attend toujours le trojan qui utilise ptrace pour s'injecter dans les processus.

avec les droits admin dans le terminal je vois pas comment éditer et sauvegarder scutil --dns ??

[schlum]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

[Fabricius]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

J'ai déjà testé avec un autre DNS étant chez FREE, et je n'arrivais pas a me connecter ... donc je suppose que FREE n'autorise pas le fait d'utiliser un autre DNS .

Fabricius

[The Hok]

Le probléme c'est que le sénario suivant est possible :

1/ Une personne va "par hasard" sur ce genre de site.
2/ Le téléchargement démarre automatiquement, et malheureusement il utilise Safari (avec l'option par défaut d'ouvrir les dmg (considéré comme sans danger bravo Apple ), alors le dmg est monté, et le packetage est lancé.
3/ On lui demande sont mot de passe, s'il est un peu endormis il le met.
4/ Le logiciel change les DNS, et rajoute un évenement cron. Le tout grace a scutil
Using scutil to set DNS server
Man scutil

Bref Apple est coupable de penser que c'est sans risque d'ouvrir des dmg, et de lancer les pkg à l'intérieur ! C'est comme sur windows si explorer lancait automatiquement les exe aprés les avoir télécharger.
Et aussi c'est une faille de sécurité ce truc de scutil.

Bref tout n'est pas rose, et c'est facile de faire les malins parce que le troyen demande le mot de passe, mais Apple ne fait pas son boulot sur le coup.

[trouspinette]

Merci pour l'explication sur les serveurs DNS : je dormirai toujours idiot mais un peu moins !
Et pour être encore moins idiot, comment peut-on savoir à quel serveur DNS le mac fait-il une requête ?

Tu fais une commande dig dans un Terminal, le résultat en fin de commande :

CODE

;; Query time: 65 msec
;; [B]SERVER: 208.67.222.222#53(208.67.222.222)[/B]
;; WHEN: Wed Oct 31 20:40:18 2007
;; MSG SIZE  rcvd: 228

En l'occurrence ceux d'OpenDNS (208.67.222.222), je suis abonné Orange (DNS = 80.10.246.130 & 80.10.246.3).

[jib]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

http://www.opendns.com/
http://icyberg.phenixmedia.ch/index.php?20...-de-dns-gratuit

il faut ensuite renseigner les dns sur le routeur ... bref rien sur son mac ...

Ce message a été modifié par jib - 31 Oct 2007, 20:48.

[schlum]

1/ Une personne va "par hasard" sur ce genre de site.
2/ Le téléchargement démarre automatiquement, et malheureusement il utilise Safari (avec l'option par défaut d'ouvrir les dmg (considéré comme sans danger bravo Apple ), alors le dmg est monté, et le packetage est lancé.
3/ On lui demande sont mot de passe, s'il est un peu endormis il le met.

J'ai raté une étape là... Explique moi comment le paquet est lancé tout seul après que le .dmg soit monté ??

[The Hok]

Enfin, c'est pas trop méchant.
J'attend toujours le trojan qui utilise ptrace pour s'injecter dans les processus.

Genre ca ? [PDF]

J'ai raté une étape là... Explique moi comment le paquet est lancé tout seul après que le .dmg soit monté ??

D'aprés intego

and the installer package it contains will launch Installer

mais j'ai pas essayé...

[schlum]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

http://www.opendns.com/
http://icyberg.phenixmedia.ch/index.php?20...-de-dns-gratuit

il faut ensuite renseigner les dns sur le routeur ... bref rien sur son mac ...

Effectivement, fonctionne avec Free...

[trouspinette]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

Même si le routeur est configuré avec des DNS du provider, on peut by-passer ceux du fournisseur :

CODE

[BobDenard:~] bob% dig www.macbdidouille.com

; <<>> DiG 9.3.4 <<>> www.macbdidouille.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50370
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbdidouille.com.         IN      A

;; ANSWER SECTION:
www.macbdidouille.com.  0       IN      A       208.69.32.139

;; Query time: 214 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Oct 31 20:46:57 2007
;; MSG SIZE  rcvd: 55

Je crois qu'il n'y a pas de règles établies sur le fait d'interroger un DNS différent du provider, et qui serait rejeté. Certains FAI ne font pas chier, d'autres peuvent adopter des comportements différents. Exemples :

1 - DNS Request sur un DNS Free, FAI Orange = rejeté

CODE

[BobDenard:~] bob% dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

2 - DNS Request sur un DNS ClubInternet, FAI Orange = accepté

CODE

[BobDenard:~] bob% dig @212.99.2.8 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.99.2.8 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 38474
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbidouille.com.          IN      A

;; Query time: 62 msec
;; SERVER: 212.99.2.8#53(212.99.2.8)
;; WHEN: Wed Oct 31 20:50:48 2007
;; MSG SIZE  rcvd: 38

3 - DNS Request sur un DNS TELE2, FAI Orange = accepté

4 - DNS Request sur un DNS FREE, FAI Oleane Pro = rejeté

CODE

[root@spartacus35 ~]# dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.3rc2 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Visiblement, FREE doit être un vilain petit canard, ou alors FREE n'accepte que des requests de pool IP lui appartenant.

Le fait de taper dans des DNS différents peut aussi ne poser aucun soucis sur des request de type A ou PTR, mais foirer sur des MX (mail exhanger) : le l'ai déjà. rencontré.

Ciao.

[Ifrit]

Ah ah ah,

un cheval de troie qui demande le mot de passe Admin...
Ca me fait bien rire, tout ca pour dire que sous OS X, on est tranquille pour un bon moment !
a part bien sur pour ceux qui tappent leurs mot de passe sans faire attention...
mais bon on peut pas faire grand chose contre ca... il est clairement marqué quelle appli demande le mot de passe, et Léopard rajoute meme un avertissement avec le nom du site d'ou provient le programme...
faire plus de sécurité que ca parait difficile, donc bon tant pis pour les gens (très) naifs...

[jib]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

Même si le routeur est configuré avec des DNS du provider, on peut by-passer ceux du fournisseur :

CODE

[BobDenard:~] bob% dig www.macbdidouille.com

; <<>> DiG 9.3.4 <<>> www.macbdidouille.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50370
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbdidouille.com.         IN      A

;; ANSWER SECTION:
www.macbdidouille.com.  0       IN      A       208.69.32.139

;; Query time: 214 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Oct 31 20:46:57 2007
;; MSG SIZE  rcvd: 55

Je crois qu'il n'y a pas de règles établies sur le fait d'interroger un DNS différent du provider, et qui serait rejeté. Certains FAI ne font pas chier, d'autres peuvent adopter des comportements différents. Exemples :

1 - DNS Request sur un DNS Free, FAI Orange = rejeté

CODE

[BobDenard:~] bob% dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

2 - DNS Request sur un DNS ClubInternet, FAI Orange = accepté

CODE

[BobDenard:~] bob% dig @212.99.2.8 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.99.2.8 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 38474
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbidouille.com.          IN      A

;; Query time: 62 msec
;; SERVER: 212.99.2.8#53(212.99.2.8)
;; WHEN: Wed Oct 31 20:50:48 2007
;; MSG SIZE  rcvd: 38

3 - DNS Request sur un DNS TELE2, FAI Orange = accepté

4 - DNS Request sur un DNS FREE, FAI Oleane Pro = rejeté

CODE

[root@spartacus35 ~]# dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.3rc2 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Visiblement, FREE doit être un vilain petit canard, ou alors FREE n'accepte que des requests de pool IP lui appartenant.

Le fait de taper dans des DNS différents peut aussi ne poser aucun soucis sur des request de type A ou PTR, mais foirer sur des MX (mail exhanger) : le l'ai déjà. rencontré.

Ciao.

faire des requêtes avec la command DIG n'implique pas l'utilisation d'un DNS différents de son FAI je crois ... comme faire un ping ... certains matériels actifs autorise le ping d'autres non ...

[sekaijin]

outre le fait qu'il faut se l'installer à la main ce qui est le plus gros trou de sécurité de tout système (l'homme)
il suffit dans son routeur d'interdire l'accès DNS
et de configurer le DNS sur ce dernier les mac du réseau local ne connaissent qu'un DNS celui du réseau local ce dernier lui connait celui du FAI et assure le relais et si un mac change son DNS il ne peu plus rien voir

En configurant le réseau en DHCP avec les infos DNS incluses le mac reprends sont vrai DNS sur réactivation du bail.

si le cheval de trois surveille et change le DNS le mac rester aveugle.

bref une simple conf réseau normalement réfléchie barre la route à ce pb.
A+JYT

[guerom00]

J'ai raté une étape là... Explique moi comment le paquet est lancé tout seul après que le .dmg soit monté ??

Ça arrive… J'ai mis à jour ARD récemment et ça a lancé le .pkg tout seul

[pib]

pour les infectés l'antidote:
How to detect-and remove-the OSX.RSPlug.A Trojan Horse

[float2]

bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

Non c'est faux, le dns indiquer dans les conf systeme est prioritaire, et le fichier host est lui prioritaire sur le serveur dns ...

Visiblement, FREE doit être un vilain petit canard, ou alors FREE n'accepte que des requests de pool IP lui appartenant.

Le serveur DNS des FAI : c'est un "service" qu'il fournisse a leur client.
le FAI ne bloque JAMAIS l'utilisation d'un serveur DNS tiers, mais peuvent reserver leur serveur DNS a leur client. ce qui me semble logique ? apres certain le laisse ouvert a tous : c'est leur probleme.


Sinon, pour le certificat SSL : je pense pas que les "faux site" utilise un certificat de cryptage, ni meme de cryptage du tout , car effectivement, si il ne sont pas authentifier par une autorité de certification, alors ca affichera le message d'erreur.

Mais pourquoi il s'embeterai ? quoi de plus simple que de passer en "http" normal : pas de message d'alerte.... si le client ne fais pas attention ! (moi je tape jamais "https" quand je tape l'url d'un site)

Ensuite, pour le message que j'ai lu qui disais "il suffit de passer par le moteur de recherche", c'est faux aussi : ca ne change rien, le moteur de recherche renverra tjs sur la vrai url quand meme, la on parle pas d'url modifier, mais d'annuaire (dns) , ce qui est tres different est peut etre bcp plus trompeur.

la VRAI seul parade donc, est de bien verifier quand on donne un code important , de verifier dans le navigateur le petit cadena, et a la limite meme, on peu cliquer dessus pour voir si il s'agit de la bonne personne.... car pour peu qu'un pirate ce fasse authentifier (ceci dis ca m'etonnerai car pour avoir un certificat il faut devoilé sa VRAI identité, qui ce retrouve ensuite dans les informations disponible au niveau du navigateur!)

voila....


A bientot
Jerome.

[lolofromparis]

Leopard n'a pas une fonction Sandbox ? Comment l'utiliser ?

[jib]

bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

Non c'est faux, le dns indiquer dans les conf systeme est prioritaire, et le fichier host est lui prioritaire sur le serveur dns ...

Dans le context de mon post:
Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

En DHCP la configuration réseaux du système indique clairement que le DNS est "optionnel".



fichier hosts édité avec le compte root et non avec le compte admin. Aucune information concernant les DNS.

Ce message a été modifié par jib - 31 Oct 2007, 21:33.

Fichier(s) joint(s)

 Picture_1.jpg ( 26.76 Ko ) Nombre de téléchargements : 105

 

[Domkirke]

Lionel, que ferions nous sans toi? (snif)

[Bora]

J'ai rajouté dans la news des explications sur les DNS pour les non familiers.

Oui j'ai vu; merci (d'être si patient avec les ignorants! )!

Je pense quand même que, si on a déjà eu à travailler avec un PC sous Windows, on ne lâche pas son mot de passe si facilement que ça... quand même.....si??


(Même chose d'ailleurs pour la case "ouvrir automatiquement les fichiers "fiables" dans Safari... ^^)

[almux]

Plutôt "marrant" que le dévérouillage de notre DNS puisse se faire à notre insu... N'y aurai-t-il un simple patch qui, en plus de donner l'alerte à la moindre tentative de changement, demanderait à entrer une deuxième sécurité par un code supplémentaire?

[trouspinette]

Un truc qui n'a pas grand chose à voir, mais Bravo Macbidouille, vous êtes QUASI 100% RFC Compliant sur le domaine.

Le seul truc "qui ne va spas" est le SPF record => WARN SPF record Your domain does not have an SPF record.

Well done; DNS très bien géré


Category Status Test Name Information
Parent PASS Missing Direct Parent check OK. Your direct parent zone exists, which is good. Some domains (usually third or fourth level domains, such as example.co.us) do not have a direct parent zone ('co.us' in this example), which is legal but can cause confusion.
INFO NS records at parent servers Your NS records at the parent servers are:

filter.dc-zone.net. [212.43.222.193] [TTL=172800] [FR]
mbserv3.macbidouille.com. [212.27.33.185] [TTL=172800] [FR]
[These were obtained from g.gtld-servers.net]
PASS Parent nameservers have your nameservers listed OK. When someone uses DNS to look up your domain, the first step (if it doesn't already know about your domain) is to go to the parent servers. If you aren't listed there, you can't be found. But you are listed there.
PASS Glue at parent nameservers OK. The parent servers have glue for your nameservers. That means they send out the IP address of your nameservers, as well as their host names.
PASS DNS servers have A records OK. All your DNS servers either have A records at the zone parent servers, or do not need them (if the DNS servers are on other TLDs). A records are required for your hostnames to ensure that other DNS servers can reach your DNS servers. Note that there will be problems if your DNS servers do not have these same A records.
NS INFO NS records at your nameservers Your NS records at your nameservers are:

filter.dc-zone.net. [212.43.222.193] [TTL=86400]
mbserv3.macbidouille.com. [212.27.33.185] [TTL=86400]
PASS Open DNS servers OK. Your DNS servers do not announce that they are open DNS servers. Although there is a slight chance that they really are open DNS servers, this is very unlikely. Open DNS servers increase the chances that of cache poisoning, can degrade performance of your DNS, and can cause your DNS servers to be used in an attack (so it is good that your DNS servers do not appear to be open DNS servers).
PASS Mismatched glue OK. The DNS report did not detect any discrepancies between the glue provided by the parent servers and that provided by your authoritative DNS servers.
PASS No NS A records at nameservers OK. Your nameservers do include corresponding A records when asked for your NS records. This ensures that your DNS servers know the A records corresponding to all your NS records.
PASS All nameservers report identical NS records OK. The NS records at all your nameservers are identical.
PASS All nameservers respond OK. All of your nameservers listed at the parent nameservers responded.
PASS Nameserver name validity OK. All of the NS records that your nameservers report seem valid (no IPs or partial domain names).
PASS Number of nameservers OK. You have 2 nameservers. You must have at least 2 nameservers (RFC2182 section 5 recommends at least 3 nameservers), and preferably no more than 7.
PASS Lame nameservers OK. All the nameservers listed at the parent servers answer authoritatively for your domain.
PASS Missing (stealth) nameservers OK. All 2 of your nameservers (as reported by your nameservers) are also listed at the parent servers.
PASS Missing nameservers 2 OK. All of the nameservers listed at the parent nameservers are also listed as NS records at your nameservers.
PASS No CNAMEs for domain OK. There are no CNAMEs for macbidouille.com. RFC1912 2.4 and RFC2181 10.3 state that there should be no CNAMEs if an NS (or any other) record is present.
PASS No NSs with CNAMEs OK. There are no CNAMEs for your NS records. RFC1912 2.4 and RFC2181 10.3 state that there should be no CNAMEs if an NS (or any other) record is present.
PASS Nameservers on separate class C's OK. You have nameservers on different Class C (technically, /24) IP ranges. You must have nameservers at geographically and topologically dispersed locations. RFC2182 3.1 goes into more detail about secondary nameserver location.
PASS All NS IPs public OK. All of your NS records appear to use public IPs. If there were any private IPs, they would not be reachable, causing DNS delays.
PASS TCP Allowed OK. All your DNS servers allow TCP connections. Although rarely used, TCP connections are occasionally used instead of UDP connections. When firewalls block the TCP DNS connections, it can cause hard-to-diagnose problems.
PASS Single Point of Failure OK. It appears that your nameservers are on separate physical servers, and we did not detect the same firewall in front of all servers. We check this mainly because some people have 2 NS records that point to different IPs on the same DNS server.
INFO Nameservers versions Your nameservers have the following versions:

212.43.222.193: ""
212.27.33.185: No version info available (refused).
PASS Stealth NS record leakage Your DNS servers do not leak any stealth NS records (if any) in non-NS requests.
SOA INFO SOA record Your SOA record [TTL=86400] is:

Primary nameserver: filter.dc-zone.net.
Hostmaster E-mail address: root.filter.dc-zone.net.
Serial #: 2007081602
Refresh: 43200
Retry: 3600
Expire: 1814400
Default TTL: 86400
PASS NS agreement on SOA serial # OK. All your nameservers agree that your SOA serial number is 2007081602. That means that all your nameservers are using the same data (unless you have different sets of data with the same serial number, which would be very bad)! Note that the DNSreport only checks the NS records listed at the parent servers (not any stealth servers).
PASS SOA MNAME Check OK. Your SOA (Start of Authority) record states that your master (primary) name server is: filter.dc-zone.net.. That server is listed at the parent servers, which is correct.

PASS SOA RNAME Check OK. Your SOA (Start of Authority) record states that your DNS contact E-mail address is: [email protected]. (techie note: we have changed the initial '.' to an '@' for display purposes).
PASS SOA Serial Number OK. Your SOA serial number is: 2007081602. This appears to be in the recommended format of YYYYMMDDnn, where 'nn' is the revision. So this indicates that your DNS was last updated on 16 Aug 2007 (and was revision #2). This number must be incremented every time you make a DNS change.
PASS SOA REFRESH value OK. Your SOA REFRESH interval is : 43200 seconds. This seems normal (about 3600-7200 seconds is good if not using DNS NOTIFY; RFC1912 2.2 recommends a value between 1200 to 43200 seconds (20 minutes to 12 hours)). This value determines how often secondary/slave nameservers check with the master for updates.
PASS SOA RETRY value OK. Your SOA RETRY interval is : 3600 seconds. This seems normal (about 120-7200 seconds is good). The retry value is the amount of time your secondary/slave nameservers will wait to contact the master nameserver again if the last attempt failed.
PASS SOA EXPIRE value OK. Your SOA EXPIRE time: 1814400 seconds. This seems normal (about 1209600 to 2419200 seconds (2-4 weeks) is good). RFC1912 suggests 2-4 weeks. This is how long a secondary/slave nameserver will wait before considering its DNS data stale if it can't reach the primary nameserver.
PASS SOA MINIMUM TTL value OK. Your SOA MINIMUM TTL is: 86400 seconds. This seems normal (about 3,600 to 86400 seconds or 1-24 hours is good). RFC2308 suggests a value of 1-3 hours. This value used to determine the default (technically, minimum) TTL (time-to-live) for DNS entries, but now is used for negative caching.
MX INFO MX Record Your 1 MX record is:

10 dcserv1.dimcab.com. [TTL=86400] IP=212.43.240.113 [TTL=43200] [FR]
PASS Low port test OK. Our local DNS server that uses a low port number can get your MX record. Some DNS servers are behind firewalls that block low port numbers. This does not guarantee that your DNS server does not block low ports (this specific lookup must be cached), but is a good indication that it does not.
PASS Invalid characters OK. All of your MX records appear to use valid hostnames, without any invalid characters.
PASS All MX IPs public OK. All of your MX records appear to use public IPs. If there were any private IPs, they would not be reachable, causing slight mail delays, extra resource usage, and possibly bounced mail.
PASS MX records are not CNAMEs OK. Looking up your MX record did not just return a CNAME. If an MX record query returns a CNAME, extra processing is required, and some mail servers may not be able to handle it.
PASS MX A lookups have no CNAMEs OK. There appear to be no CNAMEs returned for A records lookups from your MX records (CNAMEs are prohibited in MX records, according to RFC974, RFC1034 3.6.2, RFC1912 2.4, and RFC2181 10.3).
PASS MX is host name, not IP OK. All of your MX records are host names (as opposed to IP addresses, which are not allowed in MX records).
INFO Multiple MX records NOTE: You only have 1 MX record. If your primary mail server is down or unreachable, there is a chance that mail may have troubles reaching you. In the past, mailservers would usually re-try E-mail for up to 48 hours. But many now only re-try for a couple of hours. If your primary mailserver is very reliable (or can be fixed quickly if it goes down), having just one mailserver may be acceptable.
PASS Differing MX-A records OK. I did not detect differing IPs for your MX records (this would happen if your DNS servers return different IPs than the DNS servers that are authoritative for the hostname in your MX records).
PASS Duplicate MX records OK. You do not have any duplicate MX records (pointing to the same IP). Although technically valid, duplicate MX records can cause a lot of confusion, and waste resources.
PASS Reverse DNS entries for MX records OK. The IPs of all of your mail server(s) have reverse DNS (PTR) entries. RFC1912 2.1 says you should have a reverse DNS for all your mail servers. It is strongly urged that you have them, as many mailservers will not accept mail from mailservers with no reverse DNS entry. Note that this information is cached, so if you changed it recently, it will not be reflected here (see the www.DNSstuff.com Reverse DNS Tool for the current data). The reverse DNS entries are:

113.240.43.212.in-addr.arpa dcserv1.dimcab.com. [TTL=3600]
Mail PASS Connect to mail servers OK: I was able to connect to all of your mailservers.
PASS Mail server host name in greeting OK: All of your mailservers have their host name in the greeting:

dcserv1.dimcab.com:<br /> 220 dcserv1.dimcab.com ESMTP Postfix <br />
PASS Acceptance of NULL <> sender OK: All of your mailservers accept mail from "<>". You are required (RFC1123 5.2.9) to receive this type of mail (which includes reject/bounce messages and return receipts).
PASS Acceptance of postmaster address OK: All of your mailservers accept mail to [email protected] (as required by RFC822 6.3, RFC1123 5.2.7, and RFC2821 4.5.1).
PASS Acceptance of abuse address OK: All of your mailservers accept mail to [email protected].
PASS Acceptance of domain literals OK: All of your mailservers accept mail in the domain literal format (user@[212.43.240.113]).
PASS Open relay test OK: All of your mailservers appear to be closed to relaying. This is not a thorough check, you can get a thorough one here.

dcserv1.dimcab.com OK: 554 5.7.1 <Not.abuse.see.www.DNSreport.com.from.IP.90.49.132.220@DNSreport.com>: Relay access denied <br />
WARN SPF record Your domain does not have an SPF record. This means that spammers can easily send out E-mail that looks like it came from your domain, which can make your domain look bad (if the recipient thinks you really sent it), and can cost you money (when people complain to you, rather than the spammer). You may want to add an SPF record ASAP, as 01 Oct 2004 was the target date for domains to have SPF records in place (Hotmail, for example, started checking SPF records on 01 Oct 2004).
WWW
INFO WWW Record Your www.macbidouille.com A record is:

www.macbidouille.com. CNAME mbserv4.macbidouille.com. [TTL=86400]
mbserv4.macbidouille.com. A 212.43.222.205 [TTL=86400] [FR]
PASS All WWW IPs public OK. All of your WWW IPs appear to be public IPs. If there were any private IPs, they would not be reachable, causing problems reaching your web site.
PASS CNAME Lookup OK. You do have a CNAME record for www.macbidouille.com, which can cause some confusion. However, this is legal. Your CNAME entry also returns the A record for the CNAME entry, which is good -- otherwise, it would require an extra DNS lookup, which slightly delays the initial access to the website and use extra bandwidth. Note that if the CNAME points to another CNAME, it will likely cause problems.
INFO Domain A Lookup Your macbidouille.com A record is:

macbidouille.com. A 212.43.222.205 [TTL=86400]

[Jack the best]

Qu'es aquò ?

[Guest_ps1024_*]

Un chose m'étonnes dans cette méthode: si le nom du serveur peut-être spoofé par un changement du DNS (ou par une écriture dans le fichier host, ce qui serait selon moi encore plus discret sous OS X car pas directement visible dans les panneaux de configuration), le certificat fourni sur le pseudo paypal ou ebay ne pourra désigner l'URL en question tout en étant validé par une autorité de certification... les navigateurs devraient grogner à un moment ou à un autre...

Non, ce genre de faux site n'envoie pas de certificat du tout.

[TL]

Il y a déjà un bon moment (2 ou 3 ans ?) une compagnie d'anti-virus – il me semble Intégo ou Symantec, je ne me souviens plus – avait lancé la même alerte sur sa jolie page de garde : attention, un super virus sur Mac OS X, terminé le bon temps de la sécurité, etc. (comprendre : achetez vite nos produits). Et c'était pour à peu près la même chose, un programme qui demandait le mot de passe admin avant de s'exécuter pour faire de vilaines choses. Si j'étais mauvaise langue, je dirais qu'il faut un peu relancer les ventes d'anti-virus sur Mac

[Charles (aka Rab...]

et pendant ce temps, mon NetBarrier d'Intego ( 10.4.1) ne fonctionne plus sous Léopard...

Je sens que je vais passer sous Little Snitch, pour ne plus avoir à payer une redevance annuelle pour un logiciel...

Ce message a été modifié par Rabbit - 31 Oct 2007, 22:27.

[inico]

bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

Non c'est faux, le dns indiquer dans les conf systeme est prioritaire, et le fichier host est lui prioritaire sur le serveur dns ...

Dans le context de mon post:
Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

En DHCP la configuration réseaux du système indique clairement que le DNS est "optionnel".



fichier hosts édité avec le compte root et non avec le compte admin. Aucune information concernant les DNS.

Avec une box, c'est elle qui fait serveur dns pour ton réseau.
Mais tu peux decider d'utiliser un autre serveur.
C'est ce qui se passe ici.
Il y a remplacement des DNS via l'utilisation d'un outil qui courcircuite le GUI !

[jib]

bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

Non c'est faux, le dns indiquer dans les conf systeme est prioritaire, et le fichier host est lui prioritaire sur le serveur dns ...

Dans le context de mon post:
Je vais peut-être dire une grosse bêtise mais il me semble que la plupart des particuliers utilisent du DHCP sur leur box en tous genres ... le DNS est alors renseigné uniquement sur le modem-routeur et non pas sur leur machine ... bref on peux mettre ce qu'on veux comme DNS dans la config réseaux sur son mac de toute façon le DNS utilisé pour l'accès wan sera celui renseigné dans les paramètres du modem.

En DHCP la configuration réseaux du système indique clairement que le DNS est "optionnel".



fichier hosts édité avec le compte root et non avec le compte admin. Aucune information concernant les DNS.

Avec une box, c'est elle qui fait serveur dns pour ton réseau.
Mais tu peux decider d'utiliser un autre serveur.
C'est ce qui se passe ici.
Il y a remplacement des DNS via l'utilisation d'un outil qui courcircuite le GUI !

Oui on peux toujours créer son propre serveur DNS (bind, ...) mais je crois que même dans ce cas il est nécessaire de modifier les DNS sur le modem-routeur. C'est le cas avec les services opendns notamment => http://forum.macbidouille.com/index.php?sh...0813&st=30#

Mais je peux évidement me tromper ... je cherche simplement à comprendre... et à contribuer avec mes petites connaissances. je reste toujours très septique concernant les annonces de ce type de failles de sécurité surtout quand les sources sont des revendeurs de solutions de sécurité ! avec de telles annonçes l'utilisateur lambda va inévitablement se précipiter sur sa CB ...
bonne nuit à tous !

Ce message a été modifié par jib - 31 Oct 2007, 23:01.

[Tiberius78]

et pendant ce temps, mon NetBarrier d'Intego ( 10.4.1) ne fonctionne plus sous Léopard...

Je sens que je vais passer sous Little Snitch, pour ne plus avoir à payer une redevance annuelle pour un logiciel...

La dernière version de NetBarrier est la 10.4.3... NetUpdate ne te l'as pas mis à jour ?

[Zekje]

Ah ah ah,

un cheval de troie qui demande le mot de passe Admin...
Ca me fait bien rire, tout ca pour dire que sous OS X, on est tranquille pour un bon moment !
a part bien sur pour ceux qui tappent leurs mot de passe sans faire attention...
mais bon on peut pas faire grand chose contre ca... il est clairement marqué quelle appli demande le mot de passe, et Léopard rajoute meme un avertissement avec le nom du site d'ou provient le programme...
faire plus de sécurité que ca parait difficile, donc bon tant pis pour les gens (très) naifs...

sauf si je fait erreur, on peux avoir son compte admin SANS mot de passe ....
avec onyx avoir configuré l ouverture automatique des DMG

en gros tu surfe sur le site en question , le dmg est DL quand tu clic , il s ouvre , tiens une fenettre avec un pkg
tu le lance, il s installe , et t est foutu.

bref la faille est bien l utilisateur .

mama si c est rare, un trojan sur mac ne fait malheureusement que commencer ...
mac = pas de virus, donc pas d antivirus, et des utilisateurs surs d eux , donc la cible est facile
quand on vois le firewall de leopard .....

[lolowinston]

Il ne faut pas oublier qu'Intego vends des solutions de "securite" pour MAC (vu le flop qu'ils ont fait sur PC).
Bref c'est du genre : " il y a une nouvelle maladie, moi, fabricant de medicament, j'ai justement le remede".
Comme par hasard, apres qu'Apple ai vendu 2 millions de Leopard (dans le monde). Bizarre.
MDR.

Comme "l'info" est reprise sur beaucoup de site MAC, bonjour la pub gratuite.

Conclusion : meme si ce troyen existe (techniquement possible), je trouve que ca sent le "coup de pub" gratos.

[DOMY]

sauf si je fait erreur, on peux avoir son compte admin SANS mot de passe ....

Euuh .... je ne crois pas, non !!
A confirmer ...

quand on vois le firewall de leopard .....

Oui ... et ????

[Faros]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

[Shard]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

Y nous faut un cobaye, vite ! Qui osera nous sauver en allant visiter des sites olé-olé ? Qui se sacrifiera courageusement ?

[trouspinette]

Oui on peux toujours créer son propre serveur DNS (bind, ...) mais je crois que même dans ce cas il est nécessaire de modifier les DNS sur le modem-routeur. C'est le cas avec les services opendns notamment => http://forum.macbidouille.com/index.php?sh...0813&st=30#

Non, pas du tout. Mon DNS Server au bureau (OS X Server, mais le Linux fait aussi pareil) forwarde les requêtes chez OpenDNS Je ne sais pas si le routeur posé par Oléane a des DNS en dur dedans, et je m'en moque.

La config du /etc/named.conf BIND OS X Server :

CODE

options {
        directory "/var/named";
        recursion true;
        /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND 8.1 uses an unprivileged
         * port by default.
         */
        // query-source address * port 53;
        
        
        
        
        forwarders {
                        208.67.222.222;
                        208.67.220.220;
                };
};

Ce message a été modifié par trouspinette - 31 Oct 2007, 23:37.

[LeNulPourLesMacs]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

Pourquoi tu peux pas faire une recherche de tous les sites consacrés à Britney ?

Voir la recherche de britney spears nude?

C'est trop dur à ton avis ?
C'est vrai que sur Mac on ne risque rien. C'est connu. Vive le Mac.

Ce qui est dingue c'est que personne ici n'a jamais envisagé que ce genre d'attaque est organisé par la mafia et peut être présent sur autre chose qu'un site porno.

Les gens qui sont capables de monter des serveurs avec une grosse organisation comme dans ce cas, c'est rare. En recherchant depuis une heure j'ai trouvé 23 sites (et pas que du X) avec ces images disques DNSChanger.

23 sites c'est énorme.

Donc méfiance sur ce que vous demande Mac OS X : l'image disque est téléchargée AUTOMATIQUEMENT et le programme d'installation Apple est lancé tout aussi AUTOMATIQUEMENT.

La seule chose non automatique c'est quand vous devez cliquer sur INSTALLER et qu'on vous demande votre mot de passe.

Les faux serveurs DNS ne sont jamais identiques d'une image disque à l'autre et actuellement j'ai une collection de 46 serveurs DNS impliqués.

De la grosse organisation mafieuse.

Intego a eu de la chance de tomber sur ces sites hier : avec ContentBarrier je me demande s'ils ont une équipe qui inspecte tous ces sites tous les jours. En tout cas ils ont l'air efficace !

[bob II]

Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.

On sait jamais.
Quel est le signe distinctif du vrai site de Macbidouille ?

[Wam]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

Y nous faut un cobaye, vite ! Qui osera nous sauver en allant visiter des sites olé-olé ? Qui se sacrifiera courageusement ?

Je suis mort de rire!!! j'en peux plus!
Ce sacrifice!! ah ah ah!

[coqauvin]

Il semble toujours bizarre de voir les malware dénoncés mais jamais la racine du mal aux autorités par les mêmes compagnies de sécurités.

Il y a des nombres incalculables de faux sites, me semble t-il, qui existe sans interruption quelconque.
Que fait les gendarmes du WWW, s'ils existent ?
-----------------Edit
De Wam :

Sur ce, bona noté...(orthographe...??)

La grammaire aussi, non ?

Il semble toujours bizarre de voir les "malwares" dénoncés mais jamais la racine du mal aux autorités par les mêmes compagnies de sécurités.

Il y a un nombre incalculable de faux sites, me semble t-il, qui existe sans interruption quelconque. Que fait les gendarmes du "WWW", s'ils existent ?
-------
C'est mieux ?
L'orthographe est corrigée à la volée, mais pas mes erreurs grammaticales. (snif)
A l'aide - Citoyens/Citoyennes !
Merci d'avance.

Je nage ou plutôt je patauge dans l'océan de la langue française, sans rivage de sauvetage.


Ce message a été modifié par coqauvin - 1 Nov 2007, 12:06.

[LeNulPourLesMacs]

On ne pourrait pas avoir la (ou les) adresse(s) IP de ce(s) serveur(s) de noms (DNS) pirate(s) ?
S.V.P.

Histoire de détecter / filtrer / bloquer / … cette indésirable.

(Dire qu'en connaissant l'adresse IP de ce DNS, les jours de ce « cheval de Troie » sont comptés. En plus d'être difficile à installer…)

Tiens, après une recherche simple dans google tu tombes la dessus :

h*t*t*p*/bigfatsearch.biz/britney

bonne contemplation !

[Wam]

Il semble toujours bizarre de voir les malware dénoncés mais jamais la racine du mal aux autorités par les mêmes compagnies de sécurités.

Il y a des nombres incalculables de faux sites, me semble t-il, qui existe sans interruption quelconque.
Que fait les gendarmes du WWW, s'ils existent ?

Ils existent. Pour le piratage des oeuvres musicales, industrie puissante, il faut le rappeler, les forces de l'ordre de notre belle république sont au nombre de 3 agents 100% dédiés! Mon dernier post faisait allusion à la force de mon rire provoqué par Faros et Shard... Cette fois ci, c'est ce nombre : 3, qui me fait rire. On comprend qu'ils veulent délégués à des pouvoirs externes la traque des dangereux pirates qui tapent et sacagent les recettes de gentilles maisons de disque au modèle économique plus que dépassé!

Sur ce, bona noté...(orthographe...??)

Ce message a été modifié par Wam - 1 Nov 2007, 00:12.

[Fars]

Celui qui telecharge un.dmg sur un site de boules....ma foie pour se faire enfiler y a pas mieux....
Le probleme c'est l'utilisateur....surtout avec les nouvelles mesures de Leopard...

[Wam]

@ Fars : C'est évident. Et souvent, malheureusement, l'utilisateur mac est bien plus naïf que l'utilisateur PC...

[Geodesic]

Et souvent, malheureusement, l'utilisateur mac est bien plus naïf que l'utilisateur PC...

Euuuh ça c'est pas sur.

[Wam]

Et souvent, malheureusement, l'utilisateur mac est bien plus naïf que l'utilisateur PC...

Euuuh ça c'est pas sur.

Oui, c'est clair. Enfin, je ne sais pas. Mais, si tu te focalises sur la com' de Apple, l'utilisateur d'un mac peut se permettre d'être plus naïf sur le net qu'un autre car sa machine "est plus sûre sur le net"... non? Donc, c'est cette naïveté, le fait de pouvoir se dire "à l'abris" que je mettais en cause plus haut.

[schlum]

Intego a eu de la chance de tomber sur ces sites hier : avec ContentBarrier je me demande s'ils ont une équipe qui inspecte tous ces sites tous les jours. En tout cas ils ont l'air efficace !

Tu te demandes ? Je croyais que tu étais pas mal placé pour le savoir pourtant

[Lukas]

Très peu de risques, en effet.

Je m'inquiéterais plus le jour où un vrai virus pour Windows sous Parallels Desktop attaquera des fichiers du système par le chemin "\\.PSF\.Mac\" et d'autres volumes par "\\.PSF\.Mac\Volumes".

[Pasclairix]

Merci à Trouspinette et Orangina_rouge d'avoir éclairé ma lanterne sur les DNS.

[LeNulPourLesMacs]

Et souvent, malheureusement, l'utilisateur mac est bien plus naïf que l'utilisateur PC...

Euuuh ça c'est pas sur.

Oui, c'est clair. Enfin, je ne sais pas. Mais, si tu te focalises sur la com' de Apple, l'utilisateur d'un mac peut se permettre d'être plus naïf sur le net qu'un autre car sa machine "est plus sûre sur le net"... non? Donc, c'est cette naïveté, le fait de pouvoir se dire "à l'abris" que je mettais en cause plus haut.

en tout cas lui il y a eu droit

http://discussions.apple.com/thread.jspa?messageID=5709418

Courageux quand même de poser une question après avoir fréquenté des sites, hrm... , fréquentables.

In the wild ils disent chez Intego. En quelque sorte oui ...

[float2]

pres reflexion, je ne sais pas si c'est une bonne pub pour intego
.. ils vont associé leur client a des visiteurs de site X

"Tu as intego sur ton mac? tu regarde des sites X .. c'est pour ca?"

Les gens n'oseront plus dire qu'il ont Intego sur leur mac

Au fait : qui sur ce forum a intego?

hihi

Bonne nuit
Jerome.

[MacEnsteph]

Intego a eu de la chance de tomber sur ces sites hier : avec ContentBarrier je me demande s'ils ont une équipe qui inspecte tous ces sites tous les jours. En tout cas ils ont l'air efficace !

Tu te demandes ? Je croyais que tu étais pas mal placé pour le savoir pourtant

In the wild ils disent chez Intego. En quelque sorte oui ...

Bon, tu veux qu'on en rajoute encore une couche ???

[Grognon]

Alain Delon, sors de ce corps !

(comprenne qui pourra )

[DOMY]

Alain Delon, sors de ce corps !
(comprenne qui pourra )

C'est une métaphore ????

Ce message a été modifié par DOMY - 2 Nov 2007, 20:54.

[Cronos]

je suis connecté au routeur d'une livebox.
Le contrôle l'Ipv4 et DNS identique via préférences système/réseau est-il suffisant.?
Dans mon cas:
Adresse IPv4= 192.168.1.10
sous réseau 255.255.255.0
routeur= 192.168.1.1
serveur DNS=192.168.1.1.0.0.0.0

La question fondamentale est bien: comment on peut le plus simplement du monde contrôler que tout est OK?
En regardant bibliothèque/internet plug-ins, je n'ai pas le fichier plugins.settings donc je ne suis pas infecté à coup sûr?

Ce message a été modifié par Cronos - 1 Nov 2007, 09:01.

[iMoi for mac]

Je me suis sacrifié , mon passé de Windows User me disait de retrouver ce torjan

s1=85.255.114.84
s2=85.255.112.167

voila les DNS

(non je suis pas c*n je ne l'ai pas installer mais j'ai regarder dans le fichier Archive.pax.gz et apres j'ai ouvert le fichier plugins.settings avec textedit)

Ce message a été modifié par iMoi for mac - 1 Nov 2007, 06:03.

[ppo@]

Trouspinette, d'accord pour lutter contre le style SMS ! Mais peut-on éviter de tomber dans l'excès inverse (msg #65) ?
Est-ce que ta présentation de l'outil OpenDNS ne pourrait pas faire l'objet d'un didacticiel dédié à ce sujet (msg #23) ?
Merci d'avance,
patrick

[T3zoual]

C'est pareil pour le créateur de ce cheval de troie, qui est mégalomane, alors que l'on va l'oublier aussi vite qu'il est apparu !

C'est très bien d'être cool, mais trop de négligence sur ce genre de problème favorise sa diffusion.
Lionel a raison, dès le premier post, de recommander notre calme sur un sujet sensible.
Mais les réactions "pfff, encore un truc qui ne ME fera jamais rien, m'en fiche, chui bien tranquille" ... sont finalement assez risquées : soi-même, tout seul, bien tranquille, on ne risque pas forcément de catas., mais nous sommes quand même connectés à un réseau et certains d'entre nous peuvent être la victime de ces arnaques, qui peuvent faire très mal.

Ca n'arrive jamais à moi-je, tout seul, jusqu'à ce que ... ça arrive.
Et une escroquerie au phishing, même certaines personnes "très très intelligentes (enfin trop pour se faire avoir, bien sûr)", sont tombées dedans.

Bref, les appels à la vigilance de Lionel sont utiles, et à ne pas traiter avec condescendance ...

C'est mon très humble avis, sans émotion, mais avec le recul sur ce sujet précis : presqu'un milliard de dollard de perte pour les entreprises US (banques, notamment, pas les moins protégées, en principe), en 2006.

Les victimes n'étaient pas toutes des décérébrées, par hypothèse.

PS : Sinon, Imoi, est-ce que ces DNS sont à mettre en blacklist ?



Ce message a été modifié par T3zoual - 1 Nov 2007, 07:26.