Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Un troyen sur MacOSX ?

3 réponses
Avatar
xavier
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :

IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP

lsof me donne ceci :

darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin

Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.

Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.

Une recherch Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.

Bref, je suis perplexe...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.

3 réponses

Avatar
fx [Francois-Xavier Peretmere]
on the 9/10/08 1:04 Xavier wrote the following:
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :

IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP

lsof me donne ceci :

darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin

Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.

Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.

Une recherche Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.

Bref, je suis perplexe...



Aucune idée de la cause mais ce que je ferai de suite, vu que cela ne sent
pas très bon effectivement :

1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin

Il serai intéressant de connaître le résultat de vos investigations et de la
cause éventuelle.

Bon courage.

Fx
--
Rather than a beep,
Or a rude error message,
These words: file not found.
Avatar
xavier
fx [Francois-Xavier Peretmere] wrote:

1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin



Déja fait. Rien trouvé. Apparement l'exécutable s'efface après s'être
lancé.

Mais j'ai téléchargé le bot sur un des sites sus-cités. Et VirusBarrier
m'y trouve

Comment Virus 'OSX.Botch.302' detected on file 'botdarwin.tar'
Path /Users/Shared/[nobackup]/Downloads/botdarwin.tar



Je sais ce que c'est, mais pas comment il est rentré.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
patpro ~ Patrick Proniewski
In article <1iojbsx.arzgsq1y3r1sgN%,
(Xavier) wrote:

Je sais ce que c'est, mais pas comment il est rentré.



ta machine est bien à jour ?
ta gamine fait pas de MSN ?

As tu regardé la sortie de last, pour voir si il y a des traces de login
à partir d'IP que tu ne connais pas ?
As tu regardé le reste des logs ? (tout service confondu)

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133