Un troyen sur MacOSX ?

Le
xavier
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :

IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP

lsof me donne ceci :

darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin

Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.

Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.

Une recherch Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.

Bref, je suis perplexe

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
fx [Francois-Xavier Peretmere]
Le #17466331
on the 9/10/08 1:04 Xavier wrote the following:
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :

IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP

lsof me donne ceci :

darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin

Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.

Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.

Une recherche Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.

Bref, je suis perplexe...



Aucune idée de la cause mais ce que je ferai de suite, vu que cela ne sent
pas très bon effectivement :

1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin

Il serai intéressant de connaître le résultat de vos investigations et de la
cause éventuelle.

Bon courage.

Fx
--
Rather than a beep,
Or a rude error message,
These words: file not found.
xavier
Le #17467171
fx [Francois-Xavier Peretmere]
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin



Déja fait. Rien trouvé. Apparement l'exécutable s'efface après s'être
lancé.

Mais j'ai téléchargé le bot sur un des sites sus-cités. Et VirusBarrier
m'y trouve

Comment Virus 'OSX.Botch.302' detected on file 'botdarwin.tar'
Path /Users/Shared/[nobackup]/Downloads/botdarwin.tar



Je sais ce que c'est, mais pas comment il est rentré.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
patpro ~ Patrick Proniewski
Le #17467841
In article (Xavier) wrote:

Je sais ce que c'est, mais pas comment il est rentré.



ta machine est bien à jour ?
ta gamine fait pas de MSN ?

As tu regardé la sortie de last, pour voir si il y a des traces de login
à partir d'IP que tu ne connais pas ?
As tu regardé le reste des logs ? (tout service confondu)

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
Publicité
Poster une réponse
Anonyme