Un iMac Hacké ? - Forums MacBidouille

Un iMac Hacké ?, il se passe de drôles de trucs

Ponchan Voir le profil	8 Jan 2008, 15:55 Message #1
Adepte de Macbidouille Groupe : Membres Messages : 154 Inscrit : 7 Apr 2006 Membre n^o 59 008	Bonjour les bidouilleurs. Oui, je sais, cette question revient régulièrement sur les forums mais ce qui arrive à ma collègue est assez étrange. Alors voilà, Plusieurs fois, alors qu'elle travaillait sous Word, elle eu la surprise de voir apparaitre le texte suivant : C,d =c echo open !é :é »& :&éà :!ç & !§ç§ :: uèecho user q b :: uèecho binqry :: uèecho get h,, :exe :: uèecho auit :: uèftp :exe )n )smuèh,, :exe èexit Je précise tout de suite qu'elle n'a aucune connaissance en informatique et que sa maison n'est pas construite sur un cimetière Indien. Çà ressemble à une commande terminal mais je serais bien incapable de la lire. Autre chose est arrivé hier, la souris a pris le contrôle de l'ordinateur, ouvert et refermé des documents etc. Ce qui est étrange car VNC n'était pas activé à ce moment là. Aujourd'hui, son mac émet des bruits genre 'boinc'. Bref, son Mac est hanté. Matériel : iMac Intel 17", Tiger, plusieurs sessions d'utilisateur... utilisant MSN. Je vais aller y faire un tour histoire de changer les mots de passe, vérifier le firewall, rechercher d'hypothétiques virus, procéder aux mises à jour... Mais vous en pensez quoi ? Quels outils puis-je utiliser pour nettoyer tout ça ? Et comment s'assurer que cela n'arrive plus ? Ce message a été modifié par Ponchan - 8 Jan 2008, 15:56. -------------------- Serial switcher

Réponse(s)

Ponchan Voir le profil	16 Jan 2008, 16:09 Message #2
Adepte de Macbidouille Groupe : Membres Messages : 154 Inscrit : 7 Apr 2006 Membre n^o 59 008	Chombier, J'utilise la dernière version de Vine Server 3.0 Mon mot de passe est assez compliqué mais peut-être pas assez. J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS et aussi parce que je préfère avoir un programme à part, paramétrable à ma façon et lancé à la demande. Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film. -------------------- Serial switcher

chombier Voir le profil	16 Jan 2008, 16:18 Message #3
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 584 Inscrit : 20 Mar 2003 Membre n^o 6 765	CITATION(Ponchan @ 16 Jan 2008, 16:09) [snapback]2519729[/snapback] J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS. Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors... CITATION(Ponchan @ 16 Jan 2008, 16:09) [snapback]2519729[/snapback] Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film. Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage. Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an \| grep LISTEN". D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ? Ce message a été modifié par chombier - 16 Jan 2008, 16:21. -------------------- késtananafout' (:

Ponchan Voir le profil	16 Jan 2008, 16:39 Message #4
Adepte de Macbidouille Groupe : Membres Messages : 154 Inscrit : 7 Apr 2006 Membre n^o 59 008	CITATION(chombier @ 16 Jan 2008, 16:18) [snapback]2519748[/snapback] Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors... Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage. Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an \| grep LISTEN". D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ? Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner... Je vais essayer de chercher tes infos... en me connectant par VNC... Darenzana, OSXServer c'est le server VNC de Mac OS ? Dans ce cas, il était effectivement lancé. Mais pas Vine Server. -------------------- Serial switcher

chombier Voir le profil	16 Jan 2008, 16:59 Message #5
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 584 Inscrit : 20 Mar 2003 Membre n^o 6 765	CITATION(Ponchan @ 16 Jan 2008, 16:39) [snapback]2519796[/snapback] Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner... Je vais essayer de chercher tes infos... en me connectant par VNC... Darenzana, OSXServer c'est le server VNC de Mac OS ? Dans ce cas, il était effectivement lancé. Mais pas Vine Server. OSXvnc-server, c'est un serveur tiers qui a été installé. Celui d'Apple, c'est AppleVNCServer. Sur Tiger, il se démarre via les préférences Système -> Partage -> Apple Remote Desktop -> Bouton Autorisations D'accès. -------------------- késtananafout' (:

Les messages de ce sujet

Ponchan Un iMac Hacké ? 8 Jan 2008, 15:55

Mohirei Bonjour , une petite recherche (avec les mots-c... 8 Jan 2008, 15:59

Ponchan Merci Mohirei ! Effectivement, cette recherch... 8 Jan 2008, 16:23

darenzana => http://forum.macbidouille.com/index.php?s=..... 8 Jan 2008, 20:36

Ponchan Merci Darenzana, C'est exactement le forum que... 9 Jan 2008, 10:35

Ponchan Je fais un petit up suite à mon intervention sur ... 16 Jan 2008, 13:18

Fabricius Sauvegarde les données de la machine et fait un b... 16 Jan 2008, 13:21

Ponchan Mouaip. J'ai laissé les CD d'install au b... 16 Jan 2008, 13:26

Fabricius CITATION(Ponchan @ 16 Jan 2008, 13:26) 25... 16 Jan 2008, 13:31

uzboxberg Probablement rien à voir, mais il y a eu ici-mêm... 16 Jan 2008, 14:25

Ponchan En dégageant ce petit fichier /Library/StartupIte... 16 Jan 2008, 14:35

chombier CITATION(Ponchan @ 16 Jan 2008, 14:35) 25... 16 Jan 2008, 15:05

trouspinette CITATION(Ponchan @ 16 Jan 2008, 14:35) 25... 22 Jan 2008, 22:29

chombier CITATION(trouspinette @ 22 Jan 2008, 22:2... 22 Jan 2008, 22:40

Morjice CITATION(trouspinette @ 22 Jan 2008, 22:2... 23 Jan 2008, 10:28

Ponchan Chombier, J'utilise la dernière version de Vi... 16 Jan 2008, 16:09

darenzana CITATION(Ponchan @ 16 Jan 2008, 16:09) 25... 16 Jan 2008, 16:15

chombier CITATION(Ponchan @ 16 Jan 2008, 16:09) 25... 16 Jan 2008, 16:18

Ponchan CITATION(chombier @ 16 Jan 2008, 16:18) 2... 16 Jan 2008, 16:39

chombier CITATION(Ponchan @ 16 Jan 2008, 16:39) 25... 16 Jan 2008, 16:59

Ponchan Merci pour ces précisions Chombier. J'ai dés... 16 Jan 2008, 17:05

chombier CITATION(Ponchan @ 16 Jan 2008, 17:05) 25... 16 Jan 2008, 17:16

Ponchan Une précision, le bundle /Library/StartupItems/OS... 16 Jan 2008, 17:34

chombier CITATION(Ponchan @ 16 Jan 2008, 17:34) 25... 16 Jan 2008, 18:04

darenzana CITATION(Ponchan @ 16 Jan 2008, 17:34) 25... 16 Jan 2008, 18:11

chombier CITATION(darenzana @ 16 Jan 2008, 18:11) ... 16 Jan 2008, 18:17

darenzana CITATION(chombier @ 16 Jan 2008, 18:17) 2... 16 Jan 2008, 18:23

chombier CITATION(darenzana @ 16 Jan 2008, 18:23) ... 16 Jan 2008, 18:30

darenzana CITATION(chombier @ 16 Jan 2008, 18:30) 2... 16 Jan 2008, 18:34

chombier CITATION(darenzana @ 16 Jan 2008, 18:34) ... 16 Jan 2008, 18:39

Ponchan CITATION(chombier @ 16 Jan 2008, 18:30) 2... 17 Jan 2008, 09:54

Fabricius CITATION(Ponchan @ 17 Jan 2008, 09:54) 25... 17 Jan 2008, 09:56

chombier CITATION(Ponchan @ 17 Jan 2008, 09:54) 25... 17 Jan 2008, 12:19

Fabricius CITATION(darenzana @ 16 Jan 2008, 18:11) ... 16 Jan 2008, 18:51

darenzana CITATION(Fabricius @ 16 Jan 2008, 18:51) ... 16 Jan 2008, 18:55

Fabricius CITATION(darenzana @ 16 Jan 2008, 18:55) ... 16 Jan 2008, 19:01

darenzana Quelle version, le Vine server installé? Plutot ... 16 Jan 2008, 17:47

Ponchan CITATION(darenzana @ 16 Jan 2008, 17:47) ... 16 Jan 2008, 17:50

darenzana Au fait, tu as redémarré après avoir suprimé /... 16 Jan 2008, 18:46

chombier CITATION(darenzana @ 16 Jan 2008, 18:46) ... 16 Jan 2008, 18:59

chombier Certes. Mais deux serveurs VNC accessibles de l... 16 Jan 2008, 18:53

Fabricius CITATION(chombier @ 16 Jan 2008, 18:53) 2... 16 Jan 2008, 18:56

darenzana CITATION(chombier @ 16 Jan 2008, 18:53) 2... 16 Jan 2008, 18:57

Ponchan ouh la, vous n'avez pas chômé les gars ... 17 Jan 2008, 00:05

darenzana CITATION(Ponchan @ 17 Jan 2008, 00:05) 25... 17 Jan 2008, 00:10

Ponchan Physiquement, pourquoi pas. Vous croyez qu'on ... 17 Jan 2008, 09:59

Fabricius CITATION(Ponchan @ 17 Jan 2008, 09:59) 25... 17 Jan 2008, 10:02

Ponchan Ca recommence ! Petit bilan de ce que j'a... 18 Jan 2008, 09:33

Fabricius CITATION(Ponchan @ 18 Jan 2008, 09:33) 25... 18 Jan 2008, 11:55

darenzana CITATION(Fabricius @ 18 Jan 2008, 11:55) ... 18 Jan 2008, 13:50

chombier CITATION(darenzana @ 18 Jan 2008, 13:50) ... 18 Jan 2008, 13:52

darenzana CITATION(chombier @ 18 Jan 2008, 13:52) 2... 18 Jan 2008, 13:57

chombier CITATION(darenzana @ 18 Jan 2008, 13:57) ... 18 Jan 2008, 14:01

Ponchan CITATION(chombier @ 18 Jan 2008, 14:01) 2... 18 Jan 2008, 14:38

darenzana CITATION(Ponchan @ 18 Jan 2008, 14:38) 25... 18 Jan 2008, 14:48

Ponchan CITATION(darenzana @ 18 Jan 2008, 14:48) ... 18 Jan 2008, 15:13

chombier CITATION(Ponchan @ 18 Jan 2008, 14:38) 25... 18 Jan 2008, 15:33

chombier CITATION(Ponchan @ 18 Jan 2008, 09:33) 25... 18 Jan 2008, 12:09

Ponchan Merci Chombier. Alors, J'utilise Vine server p... 18 Jan 2008, 14:05

Fabricius CITATION(Ponchan @ 18 Jan 2008, 14:05) 25... 18 Jan 2008, 14:37

Ponchan Ok Chombier, Alors voici ce que je vais faire. Je ... 18 Jan 2008, 16:03

Fabricius CITATION(Ponchan @ 18 Jan 2008, 16:03) 25... 19 Jan 2008, 14:58

macuserfr Une chose que personne n'a évoqué: ARD est c... 19 Jan 2008, 15:18

Macuserman Bonne chance pour ton chantier en perspective...ma... 19 Jan 2008, 15:24

darenzana CITATION(Macuserman @ 19 Jan 2008, 15:24)... 19 Jan 2008, 15:46

Ponchan Bon, je tâcherai d'employer le bon vocabulair... 19 Jan 2008, 16:17

Fabricius CITATION(Ponchan @ 19 Jan 2008, 16:17) 25... 20 Jan 2008, 11:37

trouspinette CITATION(Fabricius @ 20 Jan 2008, 11:37) ... 22 Jan 2008, 22:53

Macuserman Ah, j'adore ton jeux de mot....cracker belin ... 19 Jan 2008, 17:08

macuserfr Ponchan, jette un coup d'oeil quand même sur ... 20 Jan 2008, 01:37

macuserfr Perso chez moi j'ai monté un petit serveur po... 20 Jan 2008, 12:27

Ponchan C'est sur qu'un petit firewall matériel e... 20 Jan 2008, 15:42

macuserfr Bah voilà Ça me rappelle une expérience vécue... 20 Jan 2008, 16:01

Ponchan Si je me faisait payer à l'heure le temps que... 20 Jan 2008, 20:44

Macuserman Bon, t'as encore des problèmes ou tu as exéc... 21 Jan 2008, 18:26

Ponchan Je ne m'y suis pas encore attaqué. Peut-être... 22 Jan 2008, 09:26

Fabricius CITATION(Ponchan @ 22 Jan 2008, 09:26) 25... 22 Jan 2008, 12:58

Ponchan ouais... ok... bon... pff... la bonne phrase devai... 22 Jan 2008, 14:16

bilbox Bonjour à tous, Ponchan tu tiens ton public... t... 22 Jan 2008, 14:58

macuserfr Faut dire, un mac hacké ça mérite de faire la u... 22 Jan 2008, 21:23

ricorich Clair que un mac qui est hacké, c'est pas cou... 22 Jan 2008, 22:23

Ponchan Encore un peu de patience... Ma collègue habite d... 23 Jan 2008, 10:10

Fabricius CITATION(Ponchan @ 23 Jan 2008, 10:10) 25... 23 Jan 2008, 21:25

Ponchan Merci Morjice, Je tiens donc le bon bout à priori... 23 Jan 2008, 11:10

macuserfr Si tout marche et qu'il n'a pas reattaqué... 23 Jan 2008, 18:42

Morjice CITATION(macuserfr @ 23 Jan 2008, 18:42) ... 23 Jan 2008, 19:24

Ponchan Je plaisantais bien sûr... Ce qui nous intéresse... 24 Jan 2008, 09:47

« Sujets plus anciens · Mac OS X / OS X · Sujets plus récents »

1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :