Au secours, on aurait trouvé un virus sur mon Mac... en plus un seul...
23 réponses
Jacques Perrocheau
Bonjour,
Je viens de recevoir une injonction de notre CRI libellé de la façon
suivante:
-----
Bonjour,
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?
Merci
Cordialement
XXXXX XXXXXXXXXXX
--
XXXXX XXXXXXXXXXX
Université de Rennes 1 - Avenue du Gal Leclerc
35042 Rennes Cedex -
-----
Info ou intox ?
Je n'ai pas constaté d'activité anormale sur cette machine (PowerMac G4
sous Mac OS X 10.4.11), avec Activity Monitor et en faisant des:
netstat -an | grep ESTABLISHED
ou
netstat -an | grep LISTEN
AMHA, si c'est grave, c'est à dire si ma machine "bave" sur le réseau,
ce que Net Monitor ne me montre pas, il m'aurait fermé sur le routeur,
le port Ethernet au quel je suis connecté (ils l'ont déjà fait ailleurs).
Comme je n'ai pas l'intention de réinstaller tout en ce moment, j'ai
trop de boulot, n'y aurait-il pas un bonne âme, un pro des réseaux, pour
m'indiquer une manip pour montrer que ma machine n'a pas d'activité
réseau anormale.
J'ai wireshark @1.0.0_0+darwin_8 (active) d'installé sur cette machine.
Si j'ai des virus pc sur ma machine cela me regarde, et c'est possible,
car je viens de sauver du désastre une machine sous Windows 2000 en
copiant sur cette machine une bonne partie des fichiers de
l'utilisateur. A tout hasard, pour en avoir le coeur net je fais en ce
moment un scan avec Virex 7.2.1 en ayant mis à jour les définitions de
virus.
P.S. Ecrire Mac comme une adresse MAC, de la part d'un informaticien
c'est choquant, ne trouvez-vous pas ? ;-)
--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
Ils m'ont simplement pris pour un macounet, un débile qui n'a pas conscience de ce qu'il fait. Eh! oui, nous sommes extrêmement dangereux nous sommes des porteurs sains, d'affreux porcs ou canards pleins de virus. ;-)
En fait j'ai bien "manipulé" une collection de virus assez gratinée en sauvant un PC du désastre (écran bleu de la mort permanent), la semaine précédente.
Comme l'intéressé n'avait ni disque dur externe, ni clef USB convenable, ni même un PC convenablement configuré pour faire du partage fichiers du premier coup, je m'étais résolu en démarrant ce PC avec un CD-ROM "Bart PE" (pour une fois les fonctions réseau ont fonctionné sur ce PC), à copier par le réseau le fichiers (7 Go bien évidemment non sauvegardés!) de ce PC sur mon Mac.
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu passer des choses. Mais je trouve leur avertissement un tantinet discriminatoire, je suis le seul à avoir reçu une injonction, ni le possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué la sauvegarde n'ont reçu d'avertissement !
Voilà.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
Philippe Manet <manet@invivo.edu> wrote:
courage, et tiens nous au courant !
Ils m'ont simplement pris pour un macounet, un débile qui n'a pas
conscience de ce qu'il fait. Eh! oui, nous sommes extrêmement dangereux
nous sommes des porteurs sains, d'affreux porcs ou canards pleins de
virus. ;-)
En fait j'ai bien "manipulé" une collection de virus assez gratinée en
sauvant un PC du désastre (écran bleu de la mort permanent), la semaine
précédente.
Comme l'intéressé n'avait ni disque dur externe, ni clef USB convenable,
ni même un PC convenablement configuré pour faire du partage fichiers du
premier coup, je m'étais résolu en démarrant ce PC avec un CD-ROM "Bart
PE" (pour une fois les fonctions réseau ont fonctionné sur ce PC), à
copier par le réseau le fichiers (7 Go bien évidemment non sauvegardés!)
de ce PC sur mon Mac.
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu
passer des choses. Mais je trouve leur avertissement un tantinet
discriminatoire, je suis le seul à avoir reçu une injonction, ni le
possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué
la sauvegarde n'ont reçu d'avertissement !
Voilà.
--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Ils m'ont simplement pris pour un macounet, un débile qui n'a pas conscience de ce qu'il fait. Eh! oui, nous sommes extrêmement dangereux nous sommes des porteurs sains, d'affreux porcs ou canards pleins de virus. ;-)
En fait j'ai bien "manipulé" une collection de virus assez gratinée en sauvant un PC du désastre (écran bleu de la mort permanent), la semaine précédente.
Comme l'intéressé n'avait ni disque dur externe, ni clef USB convenable, ni même un PC convenablement configuré pour faire du partage fichiers du premier coup, je m'étais résolu en démarrant ce PC avec un CD-ROM "Bart PE" (pour une fois les fonctions réseau ont fonctionné sur ce PC), à copier par le réseau le fichiers (7 Go bien évidemment non sauvegardés!) de ce PC sur mon Mac.
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu passer des choses. Mais je trouve leur avertissement un tantinet discriminatoire, je suis le seul à avoir reçu une injonction, ni le possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué la sauvegarde n'ont reçu d'avertissement !
Voilà.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
Paul Gaborit
À (at) Sat, 28 Jun 2008 21:12:04 +0200, (Jacques Perrocheau) écrivait (wrote):
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu passer des choses. Mais je trouve leur avertissement un tantinet discriminatoire, je suis le seul à avoir reçu une injonction, ni le possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) Sat, 28 Jun 2008 21:12:04 +0200,
jperrocheau@mac.com.invalid (Jacques Perrocheau) écrivait (wrote):
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu
passer des choses. Mais je trouve leur avertissement un tantinet
discriminatoire, je suis le seul à avoir reçu une injonction, ni le
possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué
la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse
à surveiller tout ce qui passe par un switch (à supposer que ce soit
faisable)...
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) Sat, 28 Jun 2008 21:12:04 +0200, (Jacques Perrocheau) écrivait (wrote):
Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu passer des choses. Mais je trouve leur avertissement un tantinet discriminatoire, je suis le seul à avoir reçu une injonction, ni le possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
patrick.1200RTcazaux
Jacques Perrocheau wrote:
un CD-ROM "Bart PE"
C'est quoi, ça ? -- Tardigradus
Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:
In article <1ijct8v.23hggbmxpfb2N%, (Tardigradus) wrote:
> un CD-ROM "Bart PE"
C'est quoi, ça ?
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc, pas tous bien évidemment, car on ne peut pas avoir tous les pilotes de cartes mères, cartes Ethernet, disques, ..., en ayant un minimum de fonctionnalités en GUI, ce qui évite de se retrouver en ligne de commande. Cela permet de sauver des machines qui ne démarrent plus mais dont le disque est encore valide. En effet sous Windows, sauf à avoir un "Boot Manager" tierce partie (payant la plupart) tu ne peux pas démarrer une machine en lui mettant au cul un autre disque système, comme on peut le faire tous les jours depuis longtemps sur Mac.
<http://www.nu2.nu/pebuilder/>
Le principal inconvénient est qu'il faut faire un CD-ROM pour chaque type de machine et que l'auteur a arrêté le développement ;-(.
L'autre solution est le démarrage avec un CD-ROM sous Linux, genre Knoopix, ce qui n'est pas plus simple et a le même type d'inconvénient, il manque toujours le bon pilote ;-(, et l'interface KDE, n'est pas d'une convivialité exemplaire, le support pour lire et écrire en File System NTFS non plus.
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <1ijct8v.23hggbmxpfb2N%patrick.1200RTcazaux@cadratin.fr>,
patrick.1200RTcazaux@cadratin.fr (Tardigradus) wrote:
> un CD-ROM "Bart PE"
C'est quoi, ça ?
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc, pas
tous bien évidemment, car on ne peut pas avoir tous les pilotes de
cartes mères, cartes Ethernet, disques, ..., en ayant un minimum de
fonctionnalités en GUI, ce qui évite de se retrouver en ligne de
commande. Cela permet de sauver des machines qui ne démarrent plus mais
dont le disque est encore valide. En effet sous Windows, sauf à avoir un
"Boot Manager" tierce partie (payant la plupart) tu ne peux pas démarrer
une machine en lui mettant au cul un autre disque système, comme on peut
le faire tous les jours depuis longtemps sur Mac.
<http://www.nu2.nu/pebuilder/>
Le principal inconvénient est qu'il faut faire un CD-ROM pour chaque
type de machine et que l'auteur a arrêté le développement ;-(.
L'autre solution est le démarrage avec un CD-ROM sous Linux, genre
Knoopix, ce qui n'est pas plus simple et a le même type d'inconvénient,
il manque toujours le bon pilote ;-(, et l'interface KDE, n'est pas
d'une convivialité exemplaire, le support pour lire et écrire en File
System NTFS non plus.
--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <1ijct8v.23hggbmxpfb2N%, (Tardigradus) wrote:
> un CD-ROM "Bart PE"
C'est quoi, ça ?
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc, pas tous bien évidemment, car on ne peut pas avoir tous les pilotes de cartes mères, cartes Ethernet, disques, ..., en ayant un minimum de fonctionnalités en GUI, ce qui évite de se retrouver en ligne de commande. Cela permet de sauver des machines qui ne démarrent plus mais dont le disque est encore valide. En effet sous Windows, sauf à avoir un "Boot Manager" tierce partie (payant la plupart) tu ne peux pas démarrer une machine en lui mettant au cul un autre disque système, comme on peut le faire tous les jours depuis longtemps sur Mac.
<http://www.nu2.nu/pebuilder/>
Le principal inconvénient est qu'il faut faire un CD-ROM pour chaque type de machine et que l'auteur a arrêté le développement ;-(.
L'autre solution est le démarrage avec un CD-ROM sous Linux, genre Knoopix, ce qui n'est pas plus simple et a le même type d'inconvénient, il manque toujours le bon pilote ;-(, et l'interface KDE, n'est pas d'une convivialité exemplaire, le support pour lire et écrire en File System NTFS non plus.
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
patrick.1200RTcazaux
Jacques Perrocheau wrote:
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc
Merci, je me coucherai moins bête. -- Tardigradus
Jacques Perrocheau <Jacques.Perrocheau@univ-rennes1.fr> wrote:
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc
Des CD-ROM qui peuvent démarrer sous Windows (XP en général) des pc
Merci, je me coucherai moins bête. -- Tardigradus
jperrocheau
Paul Gaborit wrote:
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port Ethernet si la machine qui est connectée "inonde" le réseau. Des responsables de services où des machines faisaient du peer to peer (Emule,...) à haute dose ont reçu des "avertissements"... Je le sais car ces dits responsables sont venu me demander ce qu'était ce "peer to peer" dont ils n'avaient aucune idée.
Autre exemple, le "switch-routeur" d'un des bâtiments a eu ses ports 137, 138, 139 fermés (en TCP et UDP) à l'époque du virus Blaster. Comme c'est le bâtiment qui héberge la majeure partie de nos appareils de RMN. Il a fallu demander la réouverture pour les IP correspondants à ces machines pour récupérer non spectres de RMN. On a obtenu seulement la réouverture du port 139. Il faut donc expliquer à tous le chimistes comment s'y connecter en ligne de commande.
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
J'attends leur réponse. La préposée du téléphone s'est contentée, voyant que je n'étais pas toutafait un newbie, de balbutier que la plupart des utilisateurs n'avaient pas conscience d'héberger des virus. C'est tout ce que j'ai obtenu.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
Franchement cette explication ne tient pas debout. Personne ne s'amuse
à surveiller tout ce qui passe par un switch (à supposer que ce soit
faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En
tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port
Ethernet si la machine qui est connectée "inonde" le réseau. Des
responsables de services où des machines faisaient du peer to peer
(Emule,...) à haute dose ont reçu des "avertissements"... Je le sais car
ces dits responsables sont venu me demander ce qu'était ce "peer to
peer" dont ils n'avaient aucune idée.
Autre exemple, le "switch-routeur" d'un des bâtiments a eu ses ports
137, 138, 139 fermés (en TCP et UDP) à l'époque du virus Blaster. Comme
c'est le bâtiment qui héberge la majeure partie de nos appareils de RMN.
Il a fallu demander la réouverture pour les IP correspondants à ces
machines pour récupérer non spectres de RMN. On a obtenu seulement la
réouverture du port 139. Il faut donc expliquer à tous le chimistes
comment s'y connecter en ligne de commande.
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
J'attends leur réponse. La préposée du téléphone s'est contentée, voyant
que je n'étais pas toutafait un newbie, de balbutier que la plupart des
utilisateurs n'avaient pas conscience d'héberger des virus. C'est tout
ce que j'ai obtenu.
--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port Ethernet si la machine qui est connectée "inonde" le réseau. Des responsables de services où des machines faisaient du peer to peer (Emule,...) à haute dose ont reçu des "avertissements"... Je le sais car ces dits responsables sont venu me demander ce qu'était ce "peer to peer" dont ils n'avaient aucune idée.
Autre exemple, le "switch-routeur" d'un des bâtiments a eu ses ports 137, 138, 139 fermés (en TCP et UDP) à l'époque du virus Blaster. Comme c'est le bâtiment qui héberge la majeure partie de nos appareils de RMN. Il a fallu demander la réouverture pour les IP correspondants à ces machines pour récupérer non spectres de RMN. On a obtenu seulement la réouverture du port 139. Il faut donc expliquer à tous le chimistes comment s'y connecter en ligne de commande.
Pourquoi ne pas aller leur demander directement ce qui motive leur message ?
J'attends leur réponse. La préposée du téléphone s'est contentée, voyant que je n'étais pas toutafait un newbie, de balbutier que la plupart des utilisateurs n'avaient pas conscience d'héberger des virus. C'est tout ce que j'ai obtenu.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
J.P. Kuypers
In article (Dans l'article) <1ijd6y2.ln919082qmjcN%, Jacques Perrocheau wrote (écrivait) :
Paul Gaborit wrote: > Franchement cette explication ne tient pas debout. Personne ne s'amuse > à surveiller tout ce qui passe par un switch (à supposer que ce soit > faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port Ethernet si la machine qui est connectée "inonde" le réseau...
Je m'excuse de vous demander pardon, mais il faut différencier un peu.
Une chose est de surveiller "tout" ce qui passe, autre chose est de piloter à distance à raccordement réseau branché sur un commutateur Ethernet.
Il y a des dispositifs capables de soit examiner plus ou moins profondément tous les paquets qui passent sur une portion de réseau soit de se laisser "attaquer" pour détecter les agresseurs. Ensuite, les personnes habilitées peuvent signaler le problème aux originateurs des perturbations.
Par ailleurs, les gestionnaires de réseau peuvent aisément détecter les trafics anormaux sur chacun des ports des commutateurs, sans même savoir ce qui induit le trafic. Un contact direct avec l'originateur permet de distinguer rapidement dans quelle mesure cela se fait à l'insu du plein gré ou au contraire est généré par le gigantesque transfert dans le cadre d'un dispositif GRID ou autre.
Ensuite bloquer à distance un port de commutateur, c'est trivial à faire. Bloquer un port IP (TCP et/ou UDP) par contre, cela se fait au niveau du routeur.
Mais tout ceci n'a rien de spécifique au Macintosh, bien sûr.
... La préposée du téléphone s'est contentée, voyant que je n'étais pas toutafait un newbie, de balbutier que la plupart des utilisateurs n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai. D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
-- Jean-Pierre Kuypers
Veuillez émailler les phrases dans leur con- texte avant de câbler sciemment.
In article (Dans l'article)
<1ijd6y2.ln919082qmjcN%jperrocheau@mac.com.invalid>, Jacques Perrocheau
<jperrocheau@mac.com.invalid> wrote (écrivait) :
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
> Franchement cette explication ne tient pas debout. Personne ne s'amuse
> à surveiller tout ce qui passe par un switch (à supposer que ce soit
> faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En
tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port
Ethernet si la machine qui est connectée "inonde" le réseau...
Je m'excuse de vous demander pardon, mais il faut différencier un peu.
Une chose est de surveiller "tout" ce qui passe, autre chose est de
piloter à distance à raccordement réseau branché sur un commutateur
Ethernet.
Il y a des dispositifs capables de soit examiner plus ou moins
profondément tous les paquets qui passent sur une portion de réseau
soit de se laisser "attaquer" pour détecter les agresseurs. Ensuite,
les personnes habilitées peuvent signaler le problème aux originateurs
des perturbations.
Par ailleurs, les gestionnaires de réseau peuvent aisément détecter les
trafics anormaux sur chacun des ports des commutateurs, sans même
savoir ce qui induit le trafic. Un contact direct avec l'originateur
permet de distinguer rapidement dans quelle mesure cela se fait à
l'insu du plein gré ou au contraire est généré par le gigantesque
transfert dans le cadre d'un dispositif GRID ou autre.
Ensuite bloquer à distance un port de commutateur, c'est trivial à
faire. Bloquer un port IP (TCP et/ou UDP) par contre, cela se fait au
niveau du routeur.
Mais tout ceci n'a rien de spécifique au Macintosh, bien sûr.
... La préposée du téléphone s'est contentée, voyant que je n'étais
pas toutafait un newbie, de balbutier que la plupart des utilisateurs
n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai.
D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
--
Jean-Pierre Kuypers
Veuillez émailler les phrases dans leur con-
texte avant de câbler sciemment.
In article (Dans l'article) <1ijd6y2.ln919082qmjcN%, Jacques Perrocheau wrote (écrivait) :
Paul Gaborit wrote: > Franchement cette explication ne tient pas debout. Personne ne s'amuse > à surveiller tout ce qui passe par un switch (à supposer que ce soit > faisable)...
Je ne sais pas si se sont des switchs ou des trucs plus sophistiqués. En tous cas, ils sont programmables à distance. J'ai déjà vu fermer un port Ethernet si la machine qui est connectée "inonde" le réseau...
Je m'excuse de vous demander pardon, mais il faut différencier un peu.
Une chose est de surveiller "tout" ce qui passe, autre chose est de piloter à distance à raccordement réseau branché sur un commutateur Ethernet.
Il y a des dispositifs capables de soit examiner plus ou moins profondément tous les paquets qui passent sur une portion de réseau soit de se laisser "attaquer" pour détecter les agresseurs. Ensuite, les personnes habilitées peuvent signaler le problème aux originateurs des perturbations.
Par ailleurs, les gestionnaires de réseau peuvent aisément détecter les trafics anormaux sur chacun des ports des commutateurs, sans même savoir ce qui induit le trafic. Un contact direct avec l'originateur permet de distinguer rapidement dans quelle mesure cela se fait à l'insu du plein gré ou au contraire est généré par le gigantesque transfert dans le cadre d'un dispositif GRID ou autre.
Ensuite bloquer à distance un port de commutateur, c'est trivial à faire. Bloquer un port IP (TCP et/ou UDP) par contre, cela se fait au niveau du routeur.
Mais tout ceci n'a rien de spécifique au Macintosh, bien sûr.
... La préposée du téléphone s'est contentée, voyant que je n'étais pas toutafait un newbie, de balbutier que la plupart des utilisateurs n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai. D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
-- Jean-Pierre Kuypers
Veuillez émailler les phrases dans leur con- texte avant de câbler sciemment.
Jacques Perrocheau
In article <010720080941494548%, "J.P. Kuypers" wrote:
[snip] > ... La préposée du téléphone s'est contentée, voyant que je n'étais > pas toutafait un newbie, de balbutier que la plupart des utilisateurs > n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai. D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
;-)
Merci, monsieur Kuypers pour ces explications toujours aussi claires.
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <010720080941494548%Jean-Pierre.Kuypers@adresse.invalid>,
"J.P. Kuypers" <Jean-Pierre.Kuypers@adresse.invalid> wrote:
[snip]
> ... La préposée du téléphone s'est contentée, voyant que je n'étais
> pas toutafait un newbie, de balbutier que la plupart des utilisateurs
> n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai.
D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
;-)
Merci, monsieur Kuypers pour ces explications toujours aussi claires.
--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <010720080941494548%, "J.P. Kuypers" wrote:
[snip] > ... La préposée du téléphone s'est contentée, voyant que je n'étais > pas toutafait un newbie, de balbutier que la plupart des utilisateurs > n'avaient pas conscience d'héberger des virus.
C'est malheureusement vrai. D'ailleurs bien souvent ils emploient un PC sous Fenêtres.
;-)
Merci, monsieur Kuypers pour ces explications toujours aussi claires.
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
gquerat
Paul Gaborit wrote:
À (at) Sat, 28 Jun 2008 21:12:04 +0200, (Jacques Perrocheau) écrivait (wrote): > Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu > passer des choses. Mais je trouve leur avertissement un tantinet > discriminatoire, je suis le seul à avoir reçu une injonction, ni le > possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué > la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Regardes ça: j'ai viré/modifié qq identifiants des machines, mais en tant que correspondant info de mon labo, c'est typiquement ce qu'on recevait (2001-2003) quand on avait une IP/nom de machine de son domaine dans la liste. Toutes les sorties de campus sont analysées en permanence au niveau protocole et débit. Pour les virus par contre, je ne crois pas, en tout cas j'ai jamais rien reçu.
message 1:
Subject: Fort traffic 139.124.xy.z X-Virus-Scanned: by AMaViS perl-10
D'après nos statistiques la machine 139.124.xy.z est un grand "serviteur" devant l'Internet: 2,7 Go transférés depuis minuit
C'est peut être normal.
Cependant les port sont étranges : 1555 en input, 3567, 3010 en output
Peer to peer ? système piraté ? ou trafic légal ?
message 2
================================================ Message du CERT-RENATER () Important trafic Peer-to-Peer depuis votre reseau
les machines ci dessous hebergent un client-serveur peer-to-peer qui est apparu au moins trois jours dans vos logs de la semaine passée. xy.sus.univ-mrs.fr xy2.sus.univ-mrs.fr xy-190.univ-mrs.fr xy-005.univ-mrs.fr xy002.aps.univ-mrs.fr xy-23.univ-mrs.fr xy3.sus.univ-mrs.fr xyle.sus.univ-mrs.fr xy147.agl.univ-mrs.fr xyie.resus.univ-mrs.fr xy4.resus.univ-mrs.fr xy6.univ-mrs.fr xym-mc0.univ-mrs.fr xy1.univ-mrs.fr . . .
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas parce que les coupures tombaient très vite ! Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués, tu peux même pas faire un ssh sans autorisation explicite et pour une IP répertoriée au service info de l'université et déclarée au DNS. Le temps ou depuis la maison je me connectais à la demande sur mes machines du labo est révolu.
-- Gilles Querat Luminy Les Calanques
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
À (at) Sat, 28 Jun 2008 21:12:04 +0200,
jperrocheau@mac.com.invalid (Jacques Perrocheau) écrivait (wrote):
> Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu
> passer des choses. Mais je trouve leur avertissement un tantinet
> discriminatoire, je suis le seul à avoir reçu une injonction, ni le
> possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué
> la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse
à surveiller tout ce qui passe par un switch (à supposer que ce soit
faisable)...
Regardes ça: j'ai viré/modifié qq identifiants des machines, mais en
tant que correspondant info de mon labo, c'est typiquement ce qu'on
recevait (2001-2003) quand on avait une IP/nom de machine de son domaine
dans la liste. Toutes les sorties de campus sont analysées en permanence
au niveau protocole et débit. Pour les virus par contre, je ne crois
pas, en tout cas j'ai jamais rien reçu.
message 1:
Subject: Fort traffic 139.124.xy.z
X-Virus-Scanned: by AMaViS perl-10
D'après nos statistiques la machine 139.124.xy.z est un grand
"serviteur" devant l'Internet: 2,7 Go transférés depuis minuit
C'est peut être normal.
Cependant les port sont étranges : 1555 en input, 3567, 3010 en output
Peer to peer ? système piraté ? ou trafic légal ?
message 2
================================================ Message du CERT-RENATER (certsvp@renater.fr)
Important trafic Peer-to-Peer depuis votre reseau
les machines ci dessous hebergent un client-serveur
peer-to-peer qui est apparu au moins trois jours dans vos logs
de la semaine passée.
xy.sus.univ-mrs.fr
xy2.sus.univ-mrs.fr
xy-190.univ-mrs.fr
xy-005.univ-mrs.fr
xy002.aps.univ-mrs.fr
xy-23.univ-mrs.fr
xy3.sus.univ-mrs.fr
xyle.sus.univ-mrs.fr
xy147.agl.univ-mrs.fr
xyie.resus.univ-mrs.fr
xy4.resus.univ-mrs.fr
xy6.univ-mrs.fr
xym-mc0.univ-mrs.fr
xy1.univ-mrs.fr
.
.
.
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas
parce que les coupures tombaient très vite !
Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués,
tu peux même pas faire un ssh sans autorisation explicite et pour une IP
répertoriée au service info de l'université et déclarée au DNS. Le temps
ou depuis la maison je me connectais à la demande sur mes machines du
labo est révolu.
À (at) Sat, 28 Jun 2008 21:12:04 +0200, (Jacques Perrocheau) écrivait (wrote): > Je suppose que le CRI surveille le réseau sur leurs switchs et ont vu > passer des choses. Mais je trouve leur avertissement un tantinet > discriminatoire, je suis le seul à avoir reçu une injonction, ni le > possesseur du PC vérolé, ni celui d'un deuxième PC où j'avais dupliqué > la sauvegarde n'ont reçu d'avertissement !
Franchement cette explication ne tient pas debout. Personne ne s'amuse à surveiller tout ce qui passe par un switch (à supposer que ce soit faisable)...
Regardes ça: j'ai viré/modifié qq identifiants des machines, mais en tant que correspondant info de mon labo, c'est typiquement ce qu'on recevait (2001-2003) quand on avait une IP/nom de machine de son domaine dans la liste. Toutes les sorties de campus sont analysées en permanence au niveau protocole et débit. Pour les virus par contre, je ne crois pas, en tout cas j'ai jamais rien reçu.
message 1:
Subject: Fort traffic 139.124.xy.z X-Virus-Scanned: by AMaViS perl-10
D'après nos statistiques la machine 139.124.xy.z est un grand "serviteur" devant l'Internet: 2,7 Go transférés depuis minuit
C'est peut être normal.
Cependant les port sont étranges : 1555 en input, 3567, 3010 en output
Peer to peer ? système piraté ? ou trafic légal ?
message 2
================================================ Message du CERT-RENATER () Important trafic Peer-to-Peer depuis votre reseau
les machines ci dessous hebergent un client-serveur peer-to-peer qui est apparu au moins trois jours dans vos logs de la semaine passée. xy.sus.univ-mrs.fr xy2.sus.univ-mrs.fr xy-190.univ-mrs.fr xy-005.univ-mrs.fr xy002.aps.univ-mrs.fr xy-23.univ-mrs.fr xy3.sus.univ-mrs.fr xyle.sus.univ-mrs.fr xy147.agl.univ-mrs.fr xyie.resus.univ-mrs.fr xy4.resus.univ-mrs.fr xy6.univ-mrs.fr xym-mc0.univ-mrs.fr xy1.univ-mrs.fr . . .
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas parce que les coupures tombaient très vite ! Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués, tu peux même pas faire un ssh sans autorisation explicite et pour une IP répertoriée au service info de l'université et déclarée au DNS. Le temps ou depuis la maison je me connectais à la demande sur mes machines du labo est révolu.
-- Gilles Querat Luminy Les Calanques
Jacques Perrocheau
In article <1ijeh61.18ntuno7owapyN%, (Gilles Querat) wrote:
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas parce que les coupures tombaient très vite ! Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués, tu peux même pas faire un ssh sans autorisation explicite et pour une IP répertoriée au service info de l'université et déclarée au DNS.
Idem ici... La politique semble être celle de Renater...
Le temps ou depuis la maison je me connectais à la demande sur mes machines du labo est révolu.
Maintenant je fais l'inverse, en tunnel ssh... na!
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <1ijeh61.18ntuno7owapyN%gquerat@luminybidon.univ-mrs.fr>,
gquerat@luminybidon.univ-mrs.fr (Gilles Querat) wrote:
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas
parce que les coupures tombaient très vite !
Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués,
tu peux même pas faire un ssh sans autorisation explicite et pour une IP
répertoriée au service info de l'université et déclarée au DNS.
Idem ici... La politique semble être celle de Renater...
Le temps ou depuis la maison je me connectais à la demande sur mes
machines du labo est révolu.
Maintenant je fais l'inverse, en tunnel ssh... na!
--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
In article <1ijeh61.18ntuno7owapyN%, (Gilles Querat) wrote:
Fallait réagir dans la matinée et t'assurer que ça ne recommençait pas parce que les coupures tombaient très vite ! Maintenant, il n'y a plus guère de pb car tout les ports sont bloqués, tu peux même pas faire un ssh sans autorisation explicite et pour une IP répertoriée au service info de l'université et déclarée au DNS.
Idem ici... La politique semble être celle de Renater...
Le temps ou depuis la maison je me connectais à la demande sur mes machines du labo est révolu.
Maintenant je fais l'inverse, en tunnel ssh... na!
-- Jacques PERROCHEAU CNRS UMR 6226 Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
