Un troyen sur MacOSX ?

Le
xavier
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :

IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP

lsof me donne ceci :

darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin

Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.

Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.

Une recherch Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.

Bref, je suis perplexe

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Winston
Le #17466071
Effectivement il semblerait que l'IP appartienne à un site un
fournisseur d'accès neerlandais XS4ALL : http://www.xs4all.nl/
Pour le port 6669 en TCP, une petite recherche nous indique que c'est
un port habituel de trojan. Et qu'il est utilisé pour de l'IRC.
Je dirais donc peut-être un client de botnet qui se sert de l'IRC pour
le controle/commande et de ce serveur aux pays-bas pour la
centralisation du dis serveur.
Franck
Le #17467161
Xavier wrote:
3- camille, c'est ma fille, et elle n'a pas de session ouverte.



Une piste possible : Vous avez activé l'accès SSH et le compte "camille"
a un mot de passe "à la con".
xavier
Le #17467851
Franck
Une piste possible : Vous avez activé l'accès SSH et le compte "camille"
a un mot de passe "à la con".



Ca, c'est bien possible.

--
Xav
The cracked brass bells will ring,
To summon back the fire witch
Publicité
Poster une réponse
Anonyme