Un iMac Hacké ?, il se passe de drôles de trucs

[Ponchan]

Bonjour les bidouilleurs.
Oui, je sais, cette question revient régulièrement sur les forums mais ce qui arrive à ma collègue est assez étrange.
Alors voilà,
Plusieurs fois, alors qu'elle travaillait sous Word, elle eu la surprise de voir apparaitre le texte suivant :

C,d =c echo open !é :é »& :&éà :!ç & !§ç§ :: uèecho user q b :: uèecho binqry :: uèecho get h,, :exe :: uèecho auit :: uèftp :exe )n )smuèh,, :exe èexit

Je précise tout de suite qu'elle n'a aucune connaissance en informatique et que sa maison n'est pas construite sur un cimetière Indien.
Çà ressemble à une commande terminal mais je serais bien incapable de la lire.

Autre chose est arrivé hier, la souris a pris le contrôle de l'ordinateur, ouvert et refermé des documents etc.
Ce qui est étrange car VNC n'était pas activé à ce moment là.

Aujourd'hui, son mac émet des bruits genre 'boinc'.

Bref, son Mac est hanté.

Matériel : iMac Intel 17", Tiger, plusieurs sessions d'utilisateur... utilisant MSN.

Je vais aller y faire un tour histoire de changer les mots de passe, vérifier le firewall, rechercher d'hypothétiques virus, procéder aux mises à jour...

Mais vous en pensez quoi ? Quels outils puis-je utiliser pour nettoyer tout ça ? Et comment s'assurer que cela n'arrive plus ?

Ce message a été modifié par Ponchan - 8 Jan 2008, 15:56.

[Mohirei]

Bonjour ,

une petite recherche (avec les mots-clé echo open par exemple) te renverra vers quelques topics qui proposent des pistes de résolution

[Ponchan]

Merci Mohirei !
Effectivement, cette recherche commence à porter ses fruits. Je vais vérifier quelle version de VNC j'ai installé, voir si elle se lance automatiquement au démarrage d'une des sessions, vérifier le mot de passe, vérifier les logs et combler les brèches.
J'ai du baisser ma garde en switchant. Sous Windows, j'étais tellement parano que je n'aurai pas laissé passer un truc pareil.
D'autres avis sur la fonction de cette commande ?

[darenzana]

=> http://forum.macbidouille.com/index.php?s=...t&p=2191192

[Ponchan]

Merci Darenzana,
C'est exactement le forum que je viens d'éplucher.
Le mec qui a installé ce Mac va m'entendre.
C'est moi je crois...
Je vais essayer tout ça la semaine prochaine.
Je vous tiens au courant.

[Ponchan]

Je fais un petit up suite à mon intervention sur le Mac hanté de ma collègue.
- J'ai mis à jour Mac OS, vine Server et tous les programmes.
- J'ai désactivé ARD (oups)
- J'ai changé tous le mots de passe de sessions, réparé les autorisations.
- J'ai cherché et éliminé d'éventuels .exe qui trainaient : WLinstaller.exe et PresentationMessenger-Bom.exe
- J'ai changé l'adresse IP de la machine
- Paramétré le Firewall pour laisser entrer VNC (ça me sert), et la Freebox pour rediriger les plages de VNC.

Je fais un test de VNC, ça fonctionne.
Je quitte VNC

J'attends un peu

Et... la souris bouge toute seule.
Le hackeur lance Firefox, se plante un peu avec le clavier azerty et se rend sur www.lowratevoip.com
Je débranche le cable réseau avant qu'il ne se connecte.

Je prend mon courage à deux mains et je lance la console pour essayer de trouver qui s'est connecté.
Je trouve pas mais je lit : "/Library/StartupItems/OSXvnc/OSXvnc-server: CGSLookupServerPort: _CGSSessionDeathWatchPort(gSessionPort) returns 268435459"
Je cherche et détruit ce dossier.
Pour le moment tout va bien.

D'autres idées ??

[Fabricius]

Sauvegarde les données de la machine et fait un bon formatage avec réinstallation de la machine .

Dommage que je ne sois pas sur ma machine sinon je pense qu'il y à bien des moyens pour savoir qui ce connecte .

En attendant désactive si possible tout ce qui est VNC car il est clair que le problème vient de là .

Fabricius

[Ponchan]

Mouaip. J'ai laissé les CD d'install au bureau...

Je précise que quand le hack commence, ni VNC ni ARD ne sont activés.

[Fabricius]

Mouaip. J'ai laissé les CD d'install au bureau...

Je précise que quand le hack commence, ni VNC ni ARD ne sont activés.

Humm... peut-être une faille alors, et si le mac n'est pas connecté au réseau ? Je suppose que le problème ne ce produit plus ! ?

Et si tu changes les ports VNC que tu utilises il me semble 5900 par défaut et que tu utilises un autre port libre et que bien sur tu fais bloqué au firewall le port 5900 avec de la chance le hacker n'ira pas plus loin .

Enfin bon un sujet que je vais suivre de près .

Fabricius

[uzboxberg]

Probablement rien à voir, mais il y a eu ici-même des rapports sur des souris (disons plutôt le curseur) qui bougent toutes seules, et ceci dû au téléphone portable posé à côté de l'ordi.

salut, Uz

[Ponchan]

En dégageant ce petit fichier /Library/StartupItems/OSXvnc/OSXvnc-server le problème a l'air d'être résolu.
Je serais assez curieux de comprendre comment ce hacker s'y est pris pour l'installer.
A-t-il trouvé une faille dans ma config d'ARD ?
Est-il passé par MSN (ce que je suppose) ?

Ce que je sais, c'est qu'il a réussi à prendre le contrôle de la machine et a essayé de taper de la commande et d'utiliser lowratevoip.com
En 15 ans d'Internet, j'avais jamais vu ça.
Le Mac est sous observation, je vous tiens au jus si ça recommence.

[chombier]

En dégageant ce petit fichier /Library/StartupItems/OSXvnc/OSXvnc-server le problème a l'air d'être résolu.
Je serais assez curieux de comprendre comment ce hacker s'y est pris pour l'installer.

Quelle est la version de ton Serveur VNC ?
Les versions 4.x sont victimes d'une faille de sécurité, peut-être exploitable sur MacOS, a moins que ton mot de passe VNC ne soit bien trop simple ?
Autre question: pourquoi avoir installé un serveur VNC tiers, alors que ARD embarque le sien ?

[Ponchan]

Chombier,
J'utilise la dernière version de Vine Server 3.0
Mon mot de passe est assez compliqué mais peut-être pas assez.
J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS et aussi parce que je préfère avoir un programme à part, paramétrable à ma façon et lancé à la demande.

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

[darenzana]

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

Bin si, OSXVNC-Server etait lancé, puisque tu nous indiques qu'il a écrit des messages dans la console, et que tu as supprimé son fichier de démarrage par la suite.

Ce message a été modifié par darenzana - 16 Jan 2008, 16:16.

[chombier]

J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS.

Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors...

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage.
Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an | grep LISTEN".
D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ?

Ce message a été modifié par chombier - 16 Jan 2008, 16:21.

[Ponchan]

Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors...

Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage.
Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an | grep LISTEN".
D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ?

Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner...
Je vais essayer de chercher tes infos... en me connectant par VNC...

Darenzana, OSXServer c'est le server VNC de Mac OS ?
Dans ce cas, il était effectivement lancé. Mais pas Vine Server.

[chombier]

Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner...
Je vais essayer de chercher tes infos... en me connectant par VNC...

Darenzana, OSXServer c'est le server VNC de Mac OS ?
Dans ce cas, il était effectivement lancé. Mais pas Vine Server.

OSXvnc-server, c'est un serveur tiers qui a été installé. Celui d'Apple, c'est AppleVNCServer.
Sur Tiger, il se démarre via les préférences Système -> Partage -> Apple Remote Desktop -> Bouton Autorisations D'accès.

[Ponchan]

Merci pour ces précisions Chombier.
J'ai désactivé le serveur VNC d'Apple.
OSXvnc-server c'est l'autre nom de Vine Server.
Ce qui est bizarre, c'est que le bundle se lançait mais pas l'application.
Pour le moment, je ne peux pas me connecter chez ma collègue parce qu'elle n'a pas lancé le serveur VNC...

[chombier]

Ce qui est bizarre, c'est que le bundle se lançait mais pas l'application.

Les élément placés dans /Library/StartupItems sont juste des scripts de démarrage qui pointent vers les programmes à lancer. Un tel programme peut être un démon sans aucune interface utilisateur. C'est pour cette raison que je voulais voir le contenu de OSXvnc-server, pour vérifier quelle application est lancée...

[Ponchan]

Une précision, le bundle /Library/StartupItems/OSXvnc/OSXvnc-server
c'est le system server de Vine server (je crois qu'il permet de lancer le serveur dans plusieurs sessions).
Il reste actif même en cas de désinstallation du programme si on a pas pensé à le désactiver.
[EDIT voilà le travail (attention, c'est long)
Le server de la mort…
/Library/StartupItems/OSXvnc/OSXvnc-server: CGSLookupServerPort: _CGSSessionDeathWatchPort(gSessionPort) returns 268435459

Les ports ouverts
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED
tcp4 0 0 *.5901 *.* LISTEN
tcp46 0 0 *.5901 *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.3831 *.* LISTEN
C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

tcp4 0 0 *.3689 *.* LISTEN
tcp4 0 0 *.3874 *.* LISTEN
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015 ESTABLISHED
tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.631 *.* LISTEN
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1016 ESTABLISHED
tcp4 0 0 127.0.0.1.1016 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1021 ESTABLISHED
tcp4 0 0 127.0.0.1.1021 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.1033 *.* LISTEN
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.2222 *.*
udp4 0 0 *.5353 *.*
udp4 0 0 *.631 *.*
udp4 0 0 192.168.6.20.123 *.*
udp6 0 0 fe80:4::217:f2ff.123 *.*
udp6 0 0 fe80:1::1.123 *.*
udp6 0 0 ::1.123 *.*
udp4 0 0 127.0.0.1.123 *.*
udp6 0 0 *.123 *.*
udp4 0 0 *.123 *.*
udp4 0 0 127.0.0.1.49163 127.0.0.1.1022
udp4 0 0 127.0.0.1.49162 127.0.0.1.1022
udp4 0 0 127.0.0.1.1022 *.*
udp4 0 0 127.0.0.1.49156 127.0.0.1.1023
udp4 0 0 127.0.0.1.1023 *.*
udp6 0 0 *.5353 *.*
udp4 0 0 *.5353 *.*
udp4 0 0 127.0.0.1.1033 *.*
udp4 0 0 *.* *.*
icm6 0 0 *.* *.*

Active LOCAL (UNIX) domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
368a3b8 stream 0 0 0 368a440 0 0 /var/run/mDNSResponder
368a440 stream 82 0 0 368a3b8 0 0
368a6e8 stream 0 0 0 368a770 0 0 /var/run/mDNSResponder
368a770 stream 0 0 0 368a6e8 0 0
368a7f8 stream 0 0 0 368a880 0 0 /var/run/mDNSResponder
368a880 stream 0 0 0 368a7f8 0 0
368a908 stream 0 0 0 368a990 0 0 /var/run/mDNSResponder
368a990 stream 0 0 0 368a908 0 0
368aa18 stream 0 0 0 368aaa0 0 0 /var/run/mDNSResponder
368aaa0 stream 0 0 0 368aa18 0 0
368ab28 stream 0 0 0 368abb0 0 0 /var/run/mDNSResponder
368abb0 stream 0 0 0 368ab28 0 0
368ad48 stream 0 0 0 368add0 0 0 /var/run/mDNSResponder
368add0 stream 0 0 0 368ad48 0 0
368aee0 stream 0 0 0 368af68 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
368af68 stream 0 0 0 368aee0 0 0
2e8b088 stream 0 0 387fbdc 0 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b220 stream 0 0 0 2e8b110 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b110 stream 0 0 0 2e8b220 0 0
2e8b330 stream 0 0 387fc60 0 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b198 stream 0 0 0 2e8b2a8 0 0 /var/tmp/SCDynamicStoreNotifyFileDescriptor-23811
2e8b2a8 stream 0 0 0 2e8b198 0 0
2e8b4c8 stream 0 0 0 2e8b550 0 0 /var/run/mDNSResponder
2e8b550 stream 0 0 0 2e8b4c8 0 0
2e8b5d8 stream 0 0 0 2e8b660 0 0 /var/run/mDNSResponder
2e8b660 stream 0 0 0 2e8b5d8 0 0
2e8b6e8 stream 0 0 0 2e8b770 0 0 /var/run/mDNSResponder
2e8b770 stream 0 0 0 2e8b6e8 0 0
2e8b7f8 stream 0 0 0 2e8b880 0 0 /var/run/mDNSResponder
2e8b880 stream 0 0 0 2e8b7f8 0 0
2e8baa0 stream 0 0 0 2e8b908 0 0 /var/run/mDNSResponder
2e8b908 stream 0 0 0 2e8baa0 0 0
2e8b990 stream 0 0 0 2e8ba18 0 0 /var/run/usbmuxd
2e8ba18 stream 0 0 0 2e8b990 0 0
2898110 stream 0 0 0 2e8bbb0 0 0
2e8bbb0 stream 0 0 0 2898110 0 0
2e8be58 stream 0 0 0 2e8bc38 0 0 /var/run/usbmuxd
2e8bc38 stream 0 0 0 2e8be58 0 0
2e8bee0 stream 0 0 2ec3dec 0 0 0 /private/var/run/cupsd
2898440 stream 0 0 0 28984c8 0 0 /var/run/mDNSResponder
28984c8 stream 0 0 0 2898440 0 0
28987f8 stream 0 0 2d2bc60 0 0 0 /var/run/pppconfd
2898dd0 stream 0 0 0 2898b28 0 0 /var/run/asl_input
2898b28 stream 0 0 0 2898dd0 0 0
2898bb0 stream 0 0 2c715ac 0 0 0 /var/run/asl_input
2898cc0 stream 0 0 2c719cc 0 0 0 /var/run/mDNSResponder
2898e58 stream 0 0 2c2d7bc 0 0 0 /var/run/usbmuxd
2898ee0 stream 0 0 2c2d840 0 0 0 /var/run/portmap.socket
2898f68 stream 0 0 2897ef4 0 0 0 /var/launchd/0/sock
368a2a8 dgram 0 0 0 368a330 368a330 0
368a330 dgram 0 0 0 368a2a8 368a2a8 0
368a4c8 dgram 0 0 0 368a550 368a550 0
368a550 dgram 0 0 0 368a4c8 368a4c8 0
368a5d8 dgram 0 0 0 368a660 368a660 0
368a660 dgram 0 0 0 368a5d8 368a5d8 0
368ac38 dgram 0 0 0 368acc0 368acc0 0
368acc0 dgram 0 0 0 368ac38 368ac38 0
368ae58 dgram 0 0 0 2e8b000 2e8b000 0
2e8b000 dgram 0 0 0 368ae58 368ae58 0
2e8b3b8 dgram 0 0 0 2e8b440 2e8b440 0
2e8b440 dgram 0 0 0 2e8b3b8 2e8b3b8 0
2e8bb28 dgram 0 0 0 28986e8 28986e8 0
28986e8 dgram 0 0 0 2e8bb28 2e8bb28 0
2e8bdd0 dgram 0 0 0 2898198 2898198 0
2898198 dgram 0 0 0 2e8bdd0 2e8bdd0 0
2e8bcc0 dgram 0 0 0 2e8bd48 2e8bd48 0
2e8bd48 dgram 0 0 0 2e8bcc0 2e8bcc0 0
2898220 dgram 0 0 0 2898a18 0 2898088
2898088 dgram 0 0 0 2898a18 0 2e8bf68
2e8bf68 dgram 0 0 0 2898a18 0 2898000
2898000 dgram 0 0 0 2898a18 0 28982a8
28982a8 dgram 0 0 0 2898a18 0 2898660
2898330 dgram 0 0 0 28983b8 28983b8 0
28983b8 dgram 0 0 0 2898330 2898330 0
2898550 dgram 0 0 0 28985d8 28985d8 0
28985d8 dgram 0 0 0 2898550 2898550 0
2898660 dgram 0 0 0 2898a18 0 2898770
2898770 dgram 0 0 0 2898a18 0 2898908
2898908 dgram 0 0 0 2898a18 0 2898880
2898880 dgram 0 0 0 2898a18 0 2898990
2898990 dgram 0 0 0 2898a18 0 2898aa0
2898aa0 dgram 0 0 0 2898a18 0 0
2898a18 dgram 0 0 2c71210 0 2898220 0 /var/run/syslog
2898c38 dgram 0 0 0 2898d48 2898d48 0
2898d48 dgram 0 0 0 2898c38 2898c38 0
[Skarn:~] catherin%

Le contenu du fichier plist d’OSXserver

• serverKeepAlive 1
• terminateOnFastUserSwitch 0
• disableRichClipboard 0
• Converted 1
• localhostOnly 0
• allowPressModsForKeys 0
• allowSleep 0
• NSWindow Frame Vine Server 990 232 432 407 0 0 1440 878
• desktopName catherine (Skarn.local)
• sharingMode 0
• NSWindow Frame Server Panel 990 232 432 407 0 0 1440 878
• portNumber 0
• startServerOnLaunch 1
• disableRemoteEvents 0
• dontDisconnectClients 1
• allowDimming 1
• showMouse 0
• allowScreenSaver 1
• allowRendezvous 1
• swapButtons 1
• allowKeyboardLoading 0

]
Je suis preneur pour l'explication de texte parceque j'y benne pas grand chose.
Merci les gars !

Ce message a été modifié par Ponchan - 16 Jan 2008, 17:47.

[darenzana]

Quelle version, le Vine server installé?

Plutot que la commande netstat, fais plutot un 'lsof -i -n -P' ; ça te donnera en plus le nom du processus qui écoute sur tel ou tel port.

PS : t'as vachement raison de t'enquiquiner avec des outils tiers, alors qu'avec ARD, il suffit de tenir le système a jour pour ne pas être inquiet...

[Ponchan]

Quelle version, le Vine server installé?

Plutot que la commande netstat, fais plutot un 'lsof -i -n -P' ; ça te donnera en plus le nom du processus qui écoute sur tel ou tel port.

PS : t'as vachement raison de t'enquiquiner avec des outils tiers, alors qu'avec ARD, il suffit de tenir le système a jour pour ne pas être inquiet...

Oui bon... Promis, je vais essayer avec ARD la prochaine fois...
Pas taper s'il vous plait.

Vine Server c'est la version 3
J'essaierai ta commmande demain.

[chombier]

tcp4 0 0 *.5901 *.* LISTEN

Déjà, ça, c'est pas bon. Il est possible que tu aies deux serveurs VNC lancés en parallèle, et la seconde instance, ne pouvant écouter sur le port 5900 déjà utilisé par la première, se replie sur 5901.

C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

Apparemment, c'est un serveur SHOUTcast: http://212.203.66.98:8000/

tcp4 0 0 *.3689 *.* LISTEN
tcp4 0 0 *.3874 *.* LISTEN

Là, aucune idée.

Le contenu du fichier plist d’OSXserver

• serverKeepAlive 1
• terminateOnFastUserSwitch 0
• disableRichClipboard 0
• Converted 1
• localhostOnly 0
• allowPressModsForKeys 0
• allowSleep 0
• NSWindow Frame Vine Server 990 232 432 407 0 0 1440 878
• desktopName catherine (Skarn.local)
• sharingMode 0
• NSWindow Frame Server Panel 990 232 432 407 0 0 1440 878
• portNumber 0
• startServerOnLaunch 1
• disableRemoteEvents 0
• dontDisconnectClients 1
• allowDimming 1
• showMouse 0
• allowScreenSaver 1
• allowRendezvous 1
• swapButtons 1
• allowKeyboardLoading 0

]
Je suis preneur pour l'explication de texte parceque j'y benne pas grand chose.
Merci les gars !

startServerOnLaunch 1 indique que le serveur VNS est lancé au démarrage.
Pour plus de sécurité, je passerais par un tunnel ssh et je changerais l'option localhostOnly en 1, comme ça, personne ne pourra se connecter sur VNC de l'extérieur.

[darenzana]

C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

Un serveur shoutcast : http://212.203.66.98:8000/
Ta collègue écoute une radio en ligne, c'est pas grave

Le port 5901 en dessous, c'est un serveur VNC
Le 3831, connais pas.
3689 : partage iTunes
3874: Connais pas non plus.

Mais pas la peine de trop chercher, si le seul port que tu forwarde à travers le routeur est celui que tu utilises pour VineServer, c'est le seul accesible de l'extérieur donc les attaques ne peuvent arriver que par la , a moins d'un malware qui initierait des connexions vers l'extérieur, mais il n'en existe pas (encore de connus) sur OS X.

Ce message a été modifié par darenzana - 16 Jan 2008, 18:11.

[chombier]

Le port 5901 en dessous, c'est un serveur VNC

Tu ne trouves pas bizarre qu'il y ait deux serveurs VNC ?

[darenzana]

Le port 5901 en dessous, c'est un serveur VNC

Tu ne trouves pas bizarre qu'il y ait deux serveurs VNC ?

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

[chombier]

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

C'est parce que tu as loupé cette ligne:

CODE

tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED

Ponchan est connecté en VNC sur le port 5900 (d'après ce que j'ai compris), et en plus, il y a un listener sur 5901.

[darenzana]

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

C'est parce que tu as loupé cette ligne:

CODE

tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED

Ponchan est connecté en VNC sur le port 5900 (d'après ce que j'ai compris), et en plus, il y a un listener sur 5901.

J'ai pensé qu'il était connecté sur le 5901, puisqu'on ne voit pas de listener sur le 5900 justement Ponchan, tu te connectes sur quel port?
Il est pas mullti-session VNC? Des qu'un utilisateur est connecté, il n'écoute plus?

Ce message a été modifié par darenzana - 16 Jan 2008, 18:37.

[chombier]

J'ai pensé qu'il était connecté sur le 5901, puisqu'on ne voit pas de listener sur le 5900 justement

Je ne fais que supposer, vu qu'il a masqué le port

Il est pas mullti-session VNC? Des qu'un utilisateur est connecté, il n'écoute plus?

Bah rien ne l'empêche de continuer à écouter sur le port 5900 pour d'éventuelles sessions supplémentaires, pourquoi l'incrémenter ? et en plus sans prévenir ?

[darenzana]

Au fait, tu as redémarré après avoir suprimé /Library/StartupItems/OSXvnc/OSXvnc-server ?

Bah rien ne l'empêche de continuer à écouter sur le port 5900 pour d'éventuelles sessions supplémentaires, pourquoi l'incrémenter ? et en plus sans prévenir ?

On est d'accord; dans mon hypothèse il écoute sur le port 5901 pour toutes les connexions, donc il ne change pas de port

[Fabricius]

Le 3831, connais pas.

Pour le port 3831 quand on tape "TCP 3831" dans google le second lien est en rapport avec les attaques sur serveur .

Fabricius

[chombier]

Certes. Mais deux serveurs VNC accessibles de l'extérieur, dont un avec la faille de sécurité expliqueraient les problèmes de l'ami Ponchan.

[darenzana]

Le 3831, connais pas.

Pour le port 3831 quand on tape "TCP 3831" dans google le second lien est en rapport avec les attaques sur serveur .

Fabricius

Oui mais non : la discussion à laquelle ton lien revoie relate d'attaques en http, sur le port 80.

[Fabricius]

Certes. Mais deux serveurs VNC accessibles de l'extérieur, dont un avec la faille de sécurité expliqueraient les problèmes de l'ami Ponchan.

Oui possible mais je ne suis pas persuadé ... mais je lui souhaite que ce soit effectivement le cas, comme ça juste une règle en plus sur le Firewall est c'est tout bon !
De toute façon ce sera vérifié assez vite je pense .

Fabricius

[darenzana]

Certes. Mais deux serveurs VNC accessibles de l'extérieur, dont un avec la faille de sécurité expliqueraient les problèmes de l'ami Ponchan.

PAs besoin de deux, il en suffit d'un

[chombier]

On est d'accord; dans mon hypothèse il écoute sur le port 5901 pour toutes les connexions, donc il ne change pas de port

Tu as raison. Je viens de faire un petit test, connecté en VNC, j'ai toujours un listener sur 5900.
Une nouvelle faille dans VineServer ?

[Fabricius]

Oui mais non : la discussion à laquelle ton lien revoie relate d'attaques en http, sur le port 80.

J'ai pas lu la page j'ai juste vu ce port dans la liste

Je ne me laisserai plus prendre .

Fabricius

[Ponchan]

ouh la, vous n'avez pas chômé les gars !
La nuit portant conseil, je vais méditer vos conclusions.
Bon, Vine Server peut-être configuré pour être multisession. Ça expliquerai qu'il y ait plusieurs ports ouverts, 5900 et 5901.
J'ai résolu ce problème là en configurant proprement Vine Server et en paramétrant correctement le firewall de Mac OS.
Avec la suppression du bout de programme dans la bibiothèque, j'ai pour le moment réussi à bloquer les attaques.
On verra demain si ça continue.

[darenzana]

Bon, Vine Server peut-être configuré pour être multisession. Ça expliquerai qu'il y ait plusieurs ports ouverts, 5900 et 5901.

non, on a justement dit le contraire : pas besoin de plusieurs ports pour être multisession.

[Ponchan]

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

C'est parce que tu as loupé cette ligne:

CODE

tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED

Ponchan est connecté en VNC sur le port 5900 (d'après ce que j'ai compris), et en plus, il y a un listener sur 5901.

Bonjour à tous.

Juste pour dire : je suis connecté en VNC sur le port 5901, pas sur le port 5900.
Je vais vérifier si le port 5900 est toujours ouvert.
Je vais vérifier aussi toutes les machines sur lesquelles j'ai installé ce programme, essayer d'installer un tunnel SSH et revenir au serveur VNC de Mac OS. (C'est une bonne résolution, non?)
Tout ça ne me dit pas comment le gars a fait pour entrer dans la machine la première fois.

[Fabricius]

Bonjour à tous.

Juste pour dire : je suis connecté en VNC sur le port 5901, pas sur le port 5900.
Je vais vérifier si le port 5900 est toujours ouvert.
Je vais vérifier aussi toutes les machines sur lesquelles j'ai installé ce programme, essayer d'installer un tunnel SSH et revenir au serveur VNC de Mac OS. (C'est une bonne résolution, non?)
Tout ça ne me dit pas comment le gars a fait pour entrer dans la machine la première fois.

Il à peut-être eu accès au mac en local enfin physiquement .

Fabricius

[Ponchan]

Physiquement, pourquoi pas.
Vous croyez qu'on peut installer ce genre de truc via une vidéo téléchargée, un fichier pps, un .exe etc ?

[Fabricius]

Physiquement, pourquoi pas.
Vous croyez qu'on peut installer ce genre de truc via une vidéo téléchargée, un fichier pps, un .exe etc ?

Un fichier exe j'en doute, sachant qu'il ne peut que être stocké et non exécuté, ce qui limite la manœuvre .
Maintenant un .ppt ou .xls voir .doc avec une Macro je sais pas ce que ça peut faire

Fabricius

[chombier]

[Juste pour dire : je suis connecté en VNC sur le port 5901, pas sur le port 5900.
Je vais vérifier si le port 5900 est toujours ouvert.

Oui, c'est moi qui m'étais planté.

Je vais vérifier aussi toutes les machines sur lesquelles j'ai installé ce programme, essayer d'installer un tunnel SSH et revenir au serveur VNC de Mac OS. (C'est une bonne résolution, non?)

Oui !

Tout ça ne me dit pas comment le gars a fait pour entrer dans la machine la première fois.

Il faudrait mettre un sniffeur sur ton réseau pour loguer les tentatives d'intrusion. Il y a peut-être une nouvelle faille dans Vine Server.

[Ponchan]

Ca recommence !

Petit bilan de ce que j'ai fait jusqu'ici :
- Mise à jour de Mac OS (10.4)
- Mise à jour de Vine Server
- Paramétrage du firewall du Mac (notamment, j'ai désactivé ARD)
- paramétrage de la redirection de ports de la Freebox.
- paramétrage de Vine server pour et désactivation "System Server"
- recherche et élimination de .exe (juste pour la forme), d'autres servers VNC.
- Changement de tous les mots de passe utilisateurs et administrateur du Mac.

Je reviens à la commande du début, ça vous dit quelque chose ?

[Fabricius]

Ca recommence !

Petit bilan de ce que j'ai fait jusqu'ici :
- Mise à jour de Mac OS (10.4)
- Mise à jour de Vine Server
- Paramétrage du firewall du Mac (notamment, j'ai désactivé ARD)
- paramétrage de la redirection de ports de la Freebox.
- paramétrage de Vine server pour et désactivation "System Server"
- recherche et élimination de .exe (juste pour la forme), d'autres servers VNC.
- Changement de tous les mots de passe utilisateurs et administrateur du Mac.

Je reviens à la commande du début, ça vous dit quelque chose ?

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

[chombier]

Ca recommence !

Petit bilan de ce que j'ai fait jusqu'ici :
- Mise à jour de Mac OS (10.4)
- Mise à jour de Vine Server

Je vais en remettre une couche: pourquoi insister avec Vine Server, alors qu'ARD offre les mêmes services ?
Tu peux te connecter avec un client VNC classique sur ARD si tu as activé l'option VNC.

- Paramétrage du firewall du Mac (notamment, j'ai désactivé ARD)
- paramétrage de la redirection de ports de la Freebox.

Quels sont les ports ouverts sur ta FreeBox ?

- paramétrage de Vine server pour et désactivation "System Server"
- recherche et élimination de .exe (juste pour la forme), d'autres servers VNC.
- Changement de tous les mots de passe utilisateurs et administrateur du Mac.

Je reviens à la commande du début, ça vous dit quelque chose ?

Sais-tu installer/te servir de WireShark ?

[darenzana]

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

J'abonde dans le sens de Fabicius. Quand on est sur qu'une machine a été compromise, on ne peut jamais savoir ce qui y a été fait; donc réinstalle complète obligatoire.

[chombier]

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

J'abonde dans le sens de Fabicius. Quand on est sur qu'une machine a été compromise, on ne peut jamais savoir ce qui y a été fait; donc réinstalle complète obligatoire.

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

[darenzana]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que Ponchan donne dans son premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, Ponchan nous a indiqué qu'il a vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Ce message a été modifié par darenzana - 18 Jan 2008, 14:00.

[chombier]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que tu donnes dans ton premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, tu nous a indiqué que tu as vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Une personne physique avec de gros problèmes de mapping clavier.
Mais il serait intéressant d'avoir un log de l'intrusion...

[Ponchan]

Merci Chombier.
Alors,
J'utilise Vine server parce que je ne savais pas à l'époque qu'il y avait un serveur intégré à Mac Os et que j'étais habitué aux serveurs VNC de l'autre monde.
Cela dit, la prochaine fois que j'interviendrai sur la machine de ma collègue, je me contenterai du serveur VNC intégré de Mac OS. J'aimerai bien apprendre à configurer SSH.
Il n'y a qu'un port forwardé sur ma Freebox : le 5901
Euh non je ne connais pas WireShark mais je suis en train de l'installer pour voir...
Fabricius, je vais finir par à en arriver à un reformatage complet mais avant je voudrais comprendre ce qui s'est passé pour que ça ne se reproduise plus.
Je vais passer un scan avec clamshell avant mais je ne sais pas si ça sera suffisant.

[Fabricius]

Fabricius, je vais finir par à en arriver à un reformatage complet mais avant je voudrais comprendre ce qui s'est passé pour que ça ne se reproduise plus.
Je vais passer un scan avec clamshell avant mais je ne sais pas si ça sera suffisant.

Je doute également qu'il soit suffisant .
Mais bon le but c'est clairement de trouver la source de ce problème puis de l'éradiquer .

Fabricius

[Ponchan]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que tu donnes dans ton premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, tu nous a indiqué que tu as vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Une personne physique avec de gros problèmes de mapping clavier.
Mais il serait intéressant d'avoir un log de l'intrusion...

Je l'ai vu faire : il avait un de mal à trouver les 'a', les '@' etc vu qu'il utilisait un clavier qwerty. Il s'est pas démonté, il a lancé Firefox, puis recherche Yahoo sur le mot 'mail', copié le carctère '@' dans une des réponses et tapé l'adresse de son site. Je suppose que le '@' était pour don login sur ce site. Malin le gars...

Le truc c'est que j'arrive pas à trouver comment il fait pour prendre la main vu que le serveur VNC est correctement paramétré maintenant et lancé seulement à ma demande.
Quand il s'est reconnecté hier soir, VNC n'était pas lancé.
Ce que j'ai fait jusqu'à présent l'a seulement retardé.

Sinon Wireshark est super complet mais comme disent les auteurs "Wireshark isn't an intrusion detection system. It will not warn you when someone does strange things on your network that he/she isn't allowed to do. However, if strange things happen, Wireshark might help you figure out what is really going on."

[darenzana]

Le truc c'est que j'arrive pas à trouver comment il fait pour prendre la main vu que le serveur VNC est correctement paramétré maintenant et lancé seulement à ma demande.
Quand il s'est reconnecté hier soir, VNC n'était pas lancé.
Ce que j'ai fait jusqu'à présent l'a seulement retardé.

Justement, donc formatte, réinstalle, et laisse ce Mac tranquille.

[Ponchan]

Le truc c'est que j'arrive pas à trouver comment il fait pour prendre la main vu que le serveur VNC est correctement paramétré maintenant et lancé seulement à ma demande.
Quand il s'est reconnecté hier soir, VNC n'était pas lancé.
Ce que j'ai fait jusqu'à présent l'a seulement retardé.

Justement, donc formatte, réinstalle, et laisse ce Mac tranquille.

Je te suis. Réponse la semaine prochaine pour voir si ça a recommencé malgré la réinstall.
Merci les gars !

[chombier]

Sinon Wireshark est super complet mais comme disent les auteurs "Wireshark isn't an intrusion detection system. It will not warn you when someone does strange things on your network that he/she isn't allowed to do. However, if strange things happen, Wireshark might help you figure out what is really going on."

Je te le proposais parce qu'il permet d'enregistrer les paquets qu'envoie le hacker pour pénétrer dans ta machine, et de les décoder facilement. Ça pourrait aider à trouver l'éventuelle faille.
Tu peux aussi utiliser tcpdump, mais c'est plus complexe.

On attend des nouvelles avec une machine réinstallée et ce Vine Server...

[Ponchan]

Ok Chombier,
Alors voici ce que je vais faire.
Je vais installer Wireshark pour tâcher de comprendre ce que notre pirate fabrique.
Ça sera utile à la communauté.
Ensuite, je vais réinstaller le Mac dans des règles de l'art (si j'en oublie, n'hésitez pas) :
- Mise en place d'un Firewall au dessus de la Freebox.
- Sauvegarde des documents des utilisateurs
- Formatage
- installation de Tiger
- Mise à jour
- Paramétrage du Firewall de Tiger
- Installation des autres programmes (hors les logiciels tiers qui font moins bien ce que l'OS fait déjà)
- Mises à jours
- Création des sessions utilisateurs et copie de leurs documents respectifs.
- Lancement du VNC intégré à ARD
- Allumage de cierge

[Fabricius]

Ok Chombier,
Alors voici ce que je vais faire.
Je vais installer Wireshark pour tâcher de comprendre ce que notre pirate fabrique.
Ça sera utile à la communauté.
Ensuite, je vais réinstaller le Mac dans des règles de l'art (si j'en oublie, n'hésitez pas) :
- Mise en place d'un Firewall au dessus de la Freebox.
- Sauvegarde des documents des utilisateurs
- Formatage
- installation de Tiger
- Mise à jour
- Paramétrage du Firewall de Tiger
- Installation des autres programmes (hors les logiciels tiers qui font moins bien ce que l'OS fait déjà)
- Mises à jours
- Création des sessions utilisateurs et copie de leurs documents respectifs.
- Lancement du VNC intégré à ARD
- Allumage de cierge

Salut, en gros oui c'est ça la procédure dans ton cas .

Mais le firewall tu vas installer quoi ?

Fabricius

[macuserfr]

Une chose que personne n'a évoqué: ARD est compatible avec VNC. Ce pourrait être ça le doublon de serveur VNC à l'écoute sur l'ordi.

[Macuserman]

Bonne chance pour ton chantier en perspective...mais attention au vocabulaire:
Ce n'est PAS un Hacker, mais un Cracker qui s'est introduit....
Fais gaffe aux traces de mer*** du genre trojans; SPAMS...bombardement et j'en passe....

Ce message a été modifié par Macuserman - 19 Jan 2008, 17:09.

[darenzana]

Bonne chance pour ton chantier en perspective...mais attention au vocabulaire:
Ce n'est PAS un Hacker, mais un Cracker qui s'est introduit....si je peux me permettre, tu peux aller sur : ****
tu t'inscris, tu fais genre tu t'es introduit dans un Mac, tu fais encore genre tu sais pas comment et tu attends...essaye d'utiliser alors un autre ordi...le site ne t'enverra aucune mer*** du genre trojans; SPAMS...bombardement et j'en passe....

Un cracker belin? Non non, c'est juste un jeune con... Et je ne suis pas sur que Macbidouille soit l'endroit pour donner des liens vers des repaires de jeunes boutonneux.

Ce message a été modifié par darenzana - 19 Jan 2008, 18:38.

[Ponchan]

Bon, je tâcherai d'employer le bon vocabulaire et je jetterai un œil lointain sur ton site, MacuserMan.
Cela dit, hacker, cracker, pirate pour notre cas, c'est la même chose, juste un trou du cul sans aucune éthique qui s'en prend à un ordi personnel pour des combines à deux balles et qui nous fait perdre notre temps. On est loin de Robin des Bois.

Je répond à deux questions posées plus haut.
Firewall : j'installe un Firewall matériel et tête de réseau et je met en route celui de Mac OS (ceinture+bretelles).
Deux serveurs VNC : non, il n'y en a qu'un seul qui tourne pour le moment, Vine Server.
Merci pour votre soutien les gars, je vous tiens au jus.

[Macuserman]

Ah, j'adore ton jeux de mot....cracker belin !! !! Vraiment.

Oui, je m'en fiche du voc; mais un cracker à encore plus de mauvaises intentions...

J'ai édité, je me suis dit aussi que c'était pas une bonne idée...
Fais en de même stp...merci !!
Vraiment bon ce jeu de mot, j'ai ri tout seul comme un débile..

Ce message a été modifié par Macuserman - 19 Jan 2008, 17:10.

[macuserfr]

Ponchan, jette un coup d'oeil quand même sur le mac dans les préfs système partage -> Apple Remote Desktop.

Du firewall matériel pour un particulier, mouais, tu tires un peu avec un bazooka pour tuer une mouche, comme dirait ma prof de Maths.

Par contre c'est vrai que si la personne est déjà rentrée c'est mieux de reinstaller le système par sécurité. Une fois à l'intérieur il peut très bien se faire des backdoor...

Mon avis (à 2 balles, je sais): Reinstall système + activation du parefeu d'os x + modif des mdp vnc (déjà fait). à mon avis ça devrait suffire

[Fabricius]

Je répond à deux questions posées plus haut.
Firewall : j'installe un Firewall matériel et tête de réseau et je met en route celui de Mac OS (ceinture+bretelles).
Deux serveurs VNC : non, il n'y en a qu'un seul qui tourne pour le moment, Vine Server.
Merci pour votre soutien les gars, je vous tiens au jus.

Salut, oui comme le dis macuserfr, "C'est prendre un bazooka pour tuer une mouche" ( Excellent d'ailleurs ), mais bon pourquoi pas, tu peux utiliser un firewall matériel ce sera toujours mieux qu'un firewall soft .

J'ai également l'intention de me lancer dans un firewall pour chez moi mais bon je penche pour utiliser un Coyote sur un petit PC qui consomme pas mais qui protège bien ... enfin bon à réfléchir, en ai-je vraiment l'utilité ? !

Fabricius

[macuserfr]

Perso chez moi j'ai monté un petit serveur pour les amis, avec dyndns et tout, jamais eu de soucis. Faut dire que je ne diffuse pas mon ip n'importe où non plus.

Ta collègue n'aurait pas utilisé un p2p du genre emule bittorent ou cie sur lequel c'est très facile de prendre des ips et scanner les victimes?

Je ne dis pas que c'est ça, mais c'est un scénario probable. Elle était en liaison directe avec internet avant, à ce que j'ai compris (sans NAT) avec un serveur VNC installé. Un petit bot malin a trouvé son ip quelque part, a scanné ses ports et trouvé du VNC. Puis une petite journée d'attaque force brute (voire qqs heures en attaque dictionnaire si ton mdp était évident) et hop, il est rentré.

Une fois à l'intérieur, comme déjà cité plus haut, il prend le mac pour un pc et essaie des commandes DOS avec en plus des soucis de clavier QWERTY/AZERTY. Bien entendu les commandes n'ont aucun effet. Mais le bot a du alerter son maitre (une personne de chair et os) qui a ensuite pris la main pour voir un peu ce qui se passe.

À quelque chose près, je dirait que c'est à peu près ce qui s'est passé.

L'attaque provient toujours de la même IP? si oui il suffit de le blacklister et ça roule. Sinon c'est plus compliqué.

@Fabricius: Ne mets pas des mots dans ma bouche, cette citation est de ma prof de maths, je ne veut pas de soucis de droits d'auteur

[Ponchan]

C'est sur qu'un petit firewall matériel est toujours mieux qu'un firewall logiciel. C'est ce que j'ai installé au boulot et ça bloque un paquet d'attaques. Le bazooka c'est bien mais c'est un peu long à recharger.
J'en ai pas à la maison mais j'ai jamais eu de pb, même du temps où je faisait du P2P sur un PC à poil (avec juste un antivirus).
Je ne crois pas que ma collègue s'amuse sur le P2P. Peut-être ses enfants. J'ai retrouvé un tas de vidéos pas nette sur leurs sessions.

[macuserfr]

Bah voilà Ça me rappelle une expérience vécue pas plus tard que mercredi dernier: À cause d'une gamine qui a installé Limewire sur le PC de son père et téléchargé à tout va des musiques et films, je me suis farci la reinstallation complète de son poste. L'antivirus marquait 514 fichiers infestés dont les 3/4 des dll windows... Et le père devait imprimer un truc urgent et ça marchait pas. 4h de boulot pour tout remettre en place (sauvegarde des docs + formatage et reinstall windows + reinstall des pilotes et soft + reintégration des documents). L'a été content le Mr quand il a reçu la facture...

[Ponchan]

Si je me faisait payer à l'heure le temps que je passe sur les macs de mes collègues, je serai millionnaire... Et je parle pas du temps que je perd sur les PC des copains. Le dernier en date avait passé deux ans sans antivirus ni anti spyware entre les mains d'un maniaque du téléchargement...

En tous cas, ça sent le verrouillage hard core à la prochaine réinstall de mac OS.

[Macuserman]

Bon, t'as encore des problèmes ou tu as exécute une clean install...??

[Ponchan]

Je ne m'y suis pas encore attaqué. Peut-être demain si tout va bien.

[Fabricius]

Je ne m'y suis pas encore attaqué. Peut-être demain si tout va bien.

Si tout va bien pourquoi s'y attaquer alors ? !

Ah ah ah quelle bonne blague

Fabricius

[Ponchan]

ouais... ok... bon... pff...
la bonne phrase devait être :
"Je ne m'y suis pas encore attaqué (à propos pour un Mac sujet aux attaques, hein ?), peut-être demain si mon planning me le permet (planning... je vais supprimer ce mot de mon vocabulaire)."

[bilbox]

Bonjour à tous,

Ponchan tu tiens ton public... t'es fort...

Mais qui est ce ?

La suite dans "Ponchan se libère du temps".

Je suis ce post depuis le début (et je ne suis pas le seul !!!). Passionnant...

[macuserfr]

Faut dire, un mac hacké ça mérite de faire la une aussi

[ricorich]

Clair que un mac qui est hacké, c'est pas courant. Moi qui aie switché pour ne pas à avoir à subir ce genre de problèmes, c'est flippant.

Disons que j'ai pas switché uniquement pour cela sinon ben laisse tomber. lol

De toute façon, moi je dis, Mac poweeeeeeeeeeeeeerrrr. Mdr

[trouspinette]

En 15 ans d'Internet, j'avais jamais vu ça.
Le Mac est sous observation, je vous tiens au jus si ça recommence.

Je confirme Un pote a eu aussi ce même genre de truc il y a 2/3 ans. Je lui ai posté le topic, il me donnera son opinion sur la rectification du problème.

Ciao

[chombier]

En 15 ans d'Internet, j'avais jamais vu ça.
Le Mac est sous observation, je vous tiens au jus si ça recommence.

Je confirme Un pote a eu aussi ce même genre de truc il y a 2/3 ans. Je lui ai posté le topic, il me donnera son opinion sur la rectification du problème.

Ciao

Des failles sur Mac OS X, il y en a déjà eu quelques unes: http://www.milw0rm.com/platforms/osX
Si c'est il y a 2/3 ans et qu'il avait un serveur VNC, on trouve quelques vidéos assez édifiantes sur la fragilité du serveur à l'époque: http://www.milw0rm.com/video/watch.php?id=52

[trouspinette]

J'ai également l'intention de me lancer dans un firewall pour chez moi mais bon je penche pour utiliser un Coyote sur un petit PC qui consomme pas mais qui protège bien ... enfin bon à réfléchir, en ai-je vraiment l'utilité ? !

Fabricius

Un truc efficace, sérieux et qui consomme que dalle* : mOnOwall

Infos par ici : http://m0n0.ch/wall/hardware.php

*moins qu'un petit PC.

[Ponchan]

Encore un peu de patience... Ma collègue habite de l'autre côté de ma Région.
Pour relancer les spéculations j'aimerai arriver à savoir.
1) Si mon "Invité" a utilisé une porte que j'aurais laissé ouverte (un serveur VNC non protégé par mot de passe par exemple). Bon, là, je me donne moi-même un bon coup de clavier sur les doigts.
2) Ou s'il est passé par la fenêtre (un autre port ouvert sur mon Mac). Là, c'est plus intéressant. Mais j'y crois moins.
3) D'autre idées ?

En fait, je sais ce que vous attendez : que je réinstalle mon système et que mon pirate se manifeste à nouveau.
Non ?

[EDIT :
Depuis que j'ai reconfiguré le NAT sur sa Freebox, il n'y a plus de nouvelle manifestation du poltergeist. Je n'ai redirigé qu'un seul port 59XX et c'est sans doute cela qui l'a bloqué.
Je n'ai cependant pas trouvé comment il se connectait en dehors du serveur VNC. Je suis assez surpris qu'il ait réussi à installer un truc sur cette machine, ça voudrait dire qu'il a trouvé l'un des mot de passe administrateur. Ou que l'un des enfants de ma collègue ai joué à l'apprenti sorcier.
Bref, à priori j'ai gagné. Ponchan 2 Craker 1.
J'ai donc pour le moment évité un reformatage complet.
Le sujet reste ouvert encore un peu tant qu'on est pas sûr...

Pour finir, ce petit conseil qui mange pas de pain (je fait la synthèse des post précédents).

Si vous installez un serveur VNC sur une machine (Mac ou PC), assurez-vous :
- que vous disposez de la dernière mise à jour du serveur (principale cause de connexion inopinée),
- qu'il n'est pas en mode "system server" (pour Vine Server),
- que votre mot de passe soit assez compliqué (si possible pas un mot d'un dictionnaire).
- Que votre NAT soit bien configuré (ne redirigez que le port dont vous avez besoin).
- Que votre Firewall (matériel et/ou logiciel) soit correctement paramétré.

A moins que vous ne soyez un(e) pro du SSH, ce qui est loin d'être mon cas (pour le moment).]

Ce message a été modifié par Ponchan - 23 Jan 2008, 10:52.

[Morjice]

En 15 ans d'Internet, j'avais jamais vu ça.
Le Mac est sous observation, je vous tiens au jus si ça recommence.

Je confirme Un pote a eu aussi ce même genre de truc il y a 2/3 ans. Je lui ai posté le topic, il me donnera son opinion sur la rectification du problème.

Ciao

Le pote en question c'est moi ... Mais il y a environ 1 an.
J'avais effectivement le même problème : souris qui bouge toute seule, qui commence à lancer des softs.
Je l'ai vu à plusieurs reprises sur quelques jours, le temps de tout réinstaller proprement à la méthode Apple (clone disque système, formatage, puis réinstall et reprise docs et applis avec assistant de migration).

Par contre, je n'ai pas vu de lignes de commandes obscures et promis juré, je n'ai jamais mis de serveur VNC autre que ARD client, lui même désactivé.
Mais bon, je suis tout le temps par monts et par vaux, et j'ai souvent le firewall d'OSX désactivé (par assez fourni l'interface de base pour moi) et de temps en temps mon ssh est ouvert...

Encore un peu de patience... Ma collègue habite de l'autre côté de ma Région.
Pour relancer les spéculations j'aimerai arriver à savoir.
1) Si mon "Invité" a utilisé une porte que j'aurais laissé ouverte (un serveur VNC non protégé par mot de passe par exemple). Bon, là, je me donne moi-même un bon coup de clavier sur les doigts.

Non, ne te tapes pas, ça fait mal

2) Ou s'il est passé par la fenêtre (un autre port ouvert sur mon Mac). Là, c'est plus intéressant. Mais j'y crois moins.

Moi j'y crois.. vu mon expérience, il aurait pu passer par les WC même...

3) D'autre idées ?

Non

En fait, je sais ce que vous attendez : que je réinstalle mon système et que mon pirate se manifeste à nouveau.
Non ?

Non, que tu sois tranquille après.
C'est vrai que ce serait bien de savoir comment il est entré, mais je pense que tu tiens la solution pour le faire sortir.


Ce message a été modifié par Morjice - 23 Jan 2008, 10:17.

[Ponchan]

Merci Morjice,
Je tiens donc le bon bout à priori.
Cet râpé pour cette semaine mais à mon prochain déplacement là-bas, je réinstalle tout proprement. Comme ça, on en parle plus.

[macuserfr]

Si tout marche et qu'il n'a pas reattaqué, pas besoin de tout refaire. Ce serait juste au cas où il aurait installé un backdoor. Mais vu les commandes dos du départ et qu'après il est allé juste sur un site de téléphonie, d'après ce que tu nous dis, ton hacker c'est pas un pro du UNIX.

Histoire de voir s'il y a un backdoor, c'est bien d'installer Little Snitch, un firewall applicatif qui affichera un pop-up à chaque tentative de connexion (puis ensuite on le paramètre pour ne plus avoir des pop-ups que lors des nouveautés). Donc si une appli louche essaie d'appeler le hacker, tu seras au courant.

[Morjice]

Si tout marche et qu'il n'a pas reattaqué, pas besoin de tout refaire.

Oui , c'est sûr, pas besoin de se prendre la tête pour rien.

Par contre, bonne idée que d'installer LittleSnitch

[Fabricius]

En fait, je sais ce que vous attendez : que je réinstalle mon système et que mon pirate se manifeste à nouveau.
Non ?

Réponse : NON, ce qui nous intéresses avant tout ce que le hacker ne puisse plus nuire et foutre sa merde sur cette machine.
Ensuite le points intéressant suivant était le : "Comment à t'il fait pour hacker ce Mac ? " afin qu'il ne puisse plus reproduire la chose.

Sache que le formatage qui était coneillé était la méthode simple mais pas forcément efficace, en effet si après installation tu remets tes réglages comme avant sur la machine ça n'aurait rien changer, mais bon c'était aussi la méthode la plus simple et rapide pour essayer de venir à bout du hacker .

Fabricius

[Ponchan]

Je plaisantais bien sûr...
Ce qui nous intéresse, c'est la faille de mon installation. Je ne voudrais pas la retrouver sur les 20 autres machines que j'ai à gérer
Avant de tout réinstaller, je vais essayer Ceci

Promis, je vais essayer LittleSnitch.
A propos, que pensez-vous du firewall de Leopard (dans le cas précis des pop-up à chaque tentative de connexion) ?