Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :
IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP
lsof me donne ceci :
darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin
Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.
Une recherch Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.
Bref, je suis perplexe...
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
fx [Francois-Xavier Peretmere]
on the 9/10/08 1:04 Xavier wrote the following:
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver une connexion bizzare :
IP Address: 194.109.20.90 Reverse DNS Name : undernet.xs4all.nl Established by ./darwin Process ID 84210 Connexion -> undernet.xs4all.nl & port 6669 TCP
lsof me donne ceci :
darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin
Pour ce que j'en sais 1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX 2- MacOSX charge toujours ses binaires avec le full path, pas avec ./ 3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi bloqué des connexions de curl le bidule devait sans doute essayer de charger autre chose), je n'ai aucune idée par où il est rentré. Je n'ai pas de programme P2P qui tourne sur cette machine.
Une recherche Google sur "botdarwin" m'amèner à des sites de hackers néérlandais.
Bref, je suis perplexe...
Aucune idée de la cause mais ce que je ferai de suite, vu que cela ne sent pas très bon effectivement :
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin) 2° find /Users/camille -type f -name *darwin* (plus brutal) 3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille 4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Il serai intéressant de connaître le résultat de vos investigations et de la cause éventuelle.
Bon courage.
Fx -- Rather than a beep, Or a rude error message, These words: file not found.
on the 9/10/08 1:04 Xavier wrote the following:
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :
IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP
lsof me donne ceci :
darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin
Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.
Une recherche Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.
Bref, je suis perplexe...
Aucune idée de la cause mais ce que je ferai de suite, vu que cela ne sent
pas très bon effectivement :
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Il serai intéressant de connaître le résultat de vos investigations et de la
cause éventuelle.
Bon courage.
Fx
--
Rather than a beep,
Or a rude error message,
These words: file not found.
Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver une connexion bizzare :
IP Address: 194.109.20.90 Reverse DNS Name : undernet.xs4all.nl Established by ./darwin Process ID 84210 Connexion -> undernet.xs4all.nl & port 6669 TCP
lsof me donne ceci :
darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin
Pour ce que j'en sais 1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX 2- MacOSX charge toujours ses binaires avec le full path, pas avec ./ 3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi bloqué des connexions de curl le bidule devait sans doute essayer de charger autre chose), je n'ai aucune idée par où il est rentré. Je n'ai pas de programme P2P qui tourne sur cette machine.
Une recherche Google sur "botdarwin" m'amèner à des sites de hackers néérlandais.
Bref, je suis perplexe...
Aucune idée de la cause mais ce que je ferai de suite, vu que cela ne sent pas très bon effectivement :
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin) 2° find /Users/camille -type f -name *darwin* (plus brutal) 3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille 4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Il serai intéressant de connaître le résultat de vos investigations et de la cause éventuelle.
Bon courage.
Fx -- Rather than a beep, Or a rude error message, These words: file not found.
xavier
fx [Francois-Xavier Peretmere] wrote:
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin) 2° find /Users/camille -type f -name *darwin* (plus brutal) 3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille 4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Déja fait. Rien trouvé. Apparement l'exécutable s'efface après s'être lancé.
Mais j'ai téléchargé le bot sur un des sites sus-cités. Et VirusBarrier m'y trouve
Comment Virus 'OSX.Botch.302' detected on file 'botdarwin.tar' Path /Users/Shared/[nobackup]/Downloads/botdarwin.tar
Je sais ce que c'est, mais pas comment il est rentré.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
fx [Francois-Xavier Peretmere] <fx@terra.fr> wrote:
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin)
2° find /Users/camille -type f -name *darwin* (plus brutal)
3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille
4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Déja fait. Rien trouvé. Apparement l'exécutable s'efface après s'être
lancé.
Mais j'ai téléchargé le bot sur un des sites sus-cités. Et VirusBarrier
m'y trouve
Comment Virus 'OSX.Botch.302' detected on file 'botdarwin.tar'
Path /Users/Shared/[nobackup]/Downloads/botdarwin.tar
Je sais ce que c'est, mais pas comment il est rentré.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
1° find /Users/camille -type f -name *darwin* (si "camille" n'est pas admin) 2° find /Users/camille -type f -name *darwin* (plus brutal) 3° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep camille 4° ps -axo "user,pid,ppid,%cpu,%mem,tty,start,state,command" | grep darwin
Déja fait. Rien trouvé. Apparement l'exécutable s'efface après s'être lancé.
Mais j'ai téléchargé le bot sur un des sites sus-cités. Et VirusBarrier m'y trouve
Comment Virus 'OSX.Botch.302' detected on file 'botdarwin.tar' Path /Users/Shared/[nobackup]/Downloads/botdarwin.tar
Je sais ce que c'est, mais pas comment il est rentré.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
patpro ~ Patrick Proniewski
In article <1iojbsx.arzgsq1y3r1sgN%, (Xavier) wrote:
Je sais ce que c'est, mais pas comment il est rentré.
ta machine est bien à jour ? ta gamine fait pas de MSN ?
As tu regardé la sortie de last, pour voir si il y a des traces de login à partir d'IP que tu ne connais pas ? As tu regardé le reste des logs ? (tout service confondu)
In article <1iojbsx.arzgsq1y3r1sgN%xavier@groumpf.org>,
xavier@groumpf.org (Xavier) wrote:
Je sais ce que c'est, mais pas comment il est rentré.
ta machine est bien à jour ?
ta gamine fait pas de MSN ?
As tu regardé la sortie de last, pour voir si il y a des traces de login
à partir d'IP que tu ne connais pas ?
As tu regardé le reste des logs ? (tout service confondu)
patpro
--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
In article <1iojbsx.arzgsq1y3r1sgN%, (Xavier) wrote:
Je sais ce que c'est, mais pas comment il est rentré.
ta machine est bien à jour ? ta gamine fait pas de MSN ?
As tu regardé la sortie de last, pour voir si il y a des traces de login à partir d'IP que tu ne connais pas ? As tu regardé le reste des logs ? (tout service confondu)