Un iMac Hacké ?, il se passe de drôles de trucs

[Ponchan]

Bonjour les bidouilleurs.
Oui, je sais, cette question revient régulièrement sur les forums mais ce qui arrive à ma collègue est assez étrange.
Alors voilà,
Plusieurs fois, alors qu'elle travaillait sous Word, elle eu la surprise de voir apparaitre le texte suivant :

C,d =c echo open !é :é »& :&éà :!ç & !§ç§ :: uèecho user q b :: uèecho binqry :: uèecho get h,, :exe :: uèecho auit :: uèftp :exe )n )smuèh,, :exe èexit

Je précise tout de suite qu'elle n'a aucune connaissance en informatique et que sa maison n'est pas construite sur un cimetière Indien.
Çà ressemble à une commande terminal mais je serais bien incapable de la lire.

Autre chose est arrivé hier, la souris a pris le contrôle de l'ordinateur, ouvert et refermé des documents etc.
Ce qui est étrange car VNC n'était pas activé à ce moment là.

Aujourd'hui, son mac émet des bruits genre 'boinc'.

Bref, son Mac est hanté.

Matériel : iMac Intel 17", Tiger, plusieurs sessions d'utilisateur... utilisant MSN.

Je vais aller y faire un tour histoire de changer les mots de passe, vérifier le firewall, rechercher d'hypothétiques virus, procéder aux mises à jour...

Mais vous en pensez quoi ? Quels outils puis-je utiliser pour nettoyer tout ça ? Et comment s'assurer que cela n'arrive plus ?

Ce message a été modifié par Ponchan - 8 Jan 2008, 15:56.

[Ponchan]

Ca recommence !

Petit bilan de ce que j'ai fait jusqu'ici :
- Mise à jour de Mac OS (10.4)
- Mise à jour de Vine Server
- Paramétrage du firewall du Mac (notamment, j'ai désactivé ARD)
- paramétrage de la redirection de ports de la Freebox.
- paramétrage de Vine server pour et désactivation "System Server"
- recherche et élimination de .exe (juste pour la forme), d'autres servers VNC.
- Changement de tous les mots de passe utilisateurs et administrateur du Mac.

Je reviens à la commande du début, ça vous dit quelque chose ?

[Fabricius]

Ca recommence !

Petit bilan de ce que j'ai fait jusqu'ici :
- Mise à jour de Mac OS (10.4)
- Mise à jour de Vine Server
- Paramétrage du firewall du Mac (notamment, j'ai désactivé ARD)
- paramétrage de la redirection de ports de la Freebox.
- paramétrage de Vine server pour et désactivation "System Server"
- recherche et élimination de .exe (juste pour la forme), d'autres servers VNC.
- Changement de tous les mots de passe utilisateurs et administrateur du Mac.

Je reviens à la commande du début, ça vous dit quelque chose ?

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

[darenzana]

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

J'abonde dans le sens de Fabicius. Quand on est sur qu'une machine a été compromise, on ne peut jamais savoir ce qui y a été fait; donc réinstalle complète obligatoire.

[chombier]

Salut, je pense qu'il arrive un moment ou la clean installe est la solution .
Peut-être que ton haker à réussit par je ne sais quelle façon d'installer un ROOTKIT sur le mac .
Et de ce biais il s'amuse simplement .

Fabricius

J'abonde dans le sens de Fabicius. Quand on est sur qu'une machine a été compromise, on ne peut jamais savoir ce qui y a été fait; donc réinstalle complète obligatoire.

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

[darenzana]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que Ponchan donne dans son premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, Ponchan nous a indiqué qu'il a vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Ce message a été modifié par darenzana - 18 Jan 2008, 14:00.

[chombier]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que tu donnes dans ton premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, tu nous a indiqué que tu as vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Une personne physique avec de gros problèmes de mapping clavier.
Mais il serait intéressant d'avoir un log de l'intrusion...

[Ponchan]

Mouais. Vu les commandes DOS qui sont envoyées par le hacker, je doute qu'il soit allé bien loin au delà de la prise en main par VNC...

Les suites de caractères que tu donnes dans ton premier post, sont effectivement sans effet, et ne sont pas le fait d'un "hacker", mais d'un ver qui essaye de se reproduire.
Par contre, tu nous a indiqué que tu as vu une connexion vers un site web de telephonie (www.lowratevoip.com); et ça ça m'inquiète plus; ça indiquerait qu'il y aurait vraiment une personne physique derrière cette attaque.

Une personne physique avec de gros problèmes de mapping clavier.
Mais il serait intéressant d'avoir un log de l'intrusion...

Je l'ai vu faire : il avait un de mal à trouver les 'a', les '@' etc vu qu'il utilisait un clavier qwerty. Il s'est pas démonté, il a lancé Firefox, puis recherche Yahoo sur le mot 'mail', copié le carctère '@' dans une des réponses et tapé l'adresse de son site. Je suppose que le '@' était pour don login sur ce site. Malin le gars...

Le truc c'est que j'arrive pas à trouver comment il fait pour prendre la main vu que le serveur VNC est correctement paramétré maintenant et lancé seulement à ma demande.
Quand il s'est reconnecté hier soir, VNC n'était pas lancé.
Ce que j'ai fait jusqu'à présent l'a seulement retardé.

Sinon Wireshark est super complet mais comme disent les auteurs "Wireshark isn't an intrusion detection system. It will not warn you when someone does strange things on your network that he/she isn't allowed to do. However, if strange things happen, Wireshark might help you figure out what is really going on."

[darenzana]

Le truc c'est que j'arrive pas à trouver comment il fait pour prendre la main vu que le serveur VNC est correctement paramétré maintenant et lancé seulement à ma demande.
Quand il s'est reconnecté hier soir, VNC n'était pas lancé.
Ce que j'ai fait jusqu'à présent l'a seulement retardé.

Justement, donc formatte, réinstalle, et laisse ce Mac tranquille.