Ce soir en rentrant je trouve LittleSnitch qui me demande d'approuver
une connexion bizzare :
IP Address: 194.109.20.90
Reverse DNS Name : undernet.xs4all.nl
Established by ./darwin
Process ID 84210
Connexion -> undernet.xs4all.nl & port 6669 TCP
lsof me donne ceci :
darwin 84210 camille cwd DIR 14,8 68 9976302 /private/var/tmp/botdarwin
darwin 84210 camille txt REG 14,8 447156 9976303 /private/var/tmp/botdarwin/darwin
Pour ce que j'en sais
1- Il n'y a pas d'éxécutable nommé "darwin" dans MacOSX
2- MacOSX charge toujours ses binaires avec le full path, pas avec ./
3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Pour autant, bien que LittleSnitch l'ai empêché de nuire (j'ai aussi
bloqué des connexions de curl le bidule devait sans doute essayer de
charger autre chose), je n'ai aucune idée par où il est rentré.
Je n'ai pas de programme P2P qui tourne sur cette machine.
Une recherch Google sur "botdarwin" m'amèner à des sites de hackers
néérlandais.
Bref, je suis perplexe...
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Winston
Effectivement il semblerait que l'IP appartienne à un site un fournisseur d'accès neerlandais XS4ALL : http://www.xs4all.nl/ Pour le port 6669 en TCP, une petite recherche nous indique que c'est un port habituel de trojan. Et qu'il est utilisé pour de l'IRC. Je dirais donc peut-être un client de botnet qui se sert de l'IRC pour le controle/commande et de ce serveur aux pays-bas pour la centralisation du dis serveur.
Effectivement il semblerait que l'IP appartienne à un site un
fournisseur d'accès neerlandais XS4ALL : http://www.xs4all.nl/
Pour le port 6669 en TCP, une petite recherche nous indique que c'est
un port habituel de trojan. Et qu'il est utilisé pour de l'IRC.
Je dirais donc peut-être un client de botnet qui se sert de l'IRC pour
le controle/commande et de ce serveur aux pays-bas pour la
centralisation du dis serveur.
Effectivement il semblerait que l'IP appartienne à un site un fournisseur d'accès neerlandais XS4ALL : http://www.xs4all.nl/ Pour le port 6669 en TCP, une petite recherche nous indique que c'est un port habituel de trojan. Et qu'il est utilisé pour de l'IRC. Je dirais donc peut-être un client de botnet qui se sert de l'IRC pour le controle/commande et de ce serveur aux pays-bas pour la centralisation du dis serveur.
Franck
Xavier wrote:
3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Une piste possible : Vous avez activé l'accès SSH et le compte "camille" a un mot de passe "à la con".
Xavier wrote:
3- camille, c'est ma fille, et elle n'a pas de session ouverte.
Une piste possible : Vous avez activé l'accès SSH et le compte "camille"
a un mot de passe "à la con".
