PIRATÉ
- Créateur du sujet susu
- Date de début
l'extrait du journal est-elle la seule source pour remonter a ce qui c'est passé sur ce Mac?
A quel moment le cable ethernet a t il ete debranché? a ce moment la:?
02/12/09 15:15:34 kernel Ethernet [AppleYukon2]: Link up on en0, 100-Megabit, Full-duplex, Symmetric flow-control, Debug [796d,6f08,0de1,0200,45e1,4000]
A quel moment le cable ethernet a t il ete debranché? a ce moment la:?
02/12/09 15:15:34 kernel Ethernet [AppleYukon2]: Link up on en0, 100-Megabit, Full-duplex, Symmetric flow-control, Debug [796d,6f08,0de1,0200,45e1,4000]
C'est la première source à contrôler surtout si tu arraches le câble (peu probable que le suspect efface avec cette technique de Hun).
Non : " Link up on" Je dirais qu'il l'à reconnecté à ce moment là.
---------- Nouveau message ajouté à 20h26 ---------- Le message précédent a été envoyé à 20h23 ----------
Il faut chercher là :
On voit en tout dernier que en0 (le cable réseau) est link down, c'est à dire débranché.
Si on regarde plus haut, on voit que le clavier est passé en keymap américain, ce qui est un problème très courant quand on fait une prise en main à distance.
Et juste un peux plus haut, le débugger de Safari à été lancé..... mais pour quelle raison ? Et par qui ??? !
En revanche, c'était une heure plus tôt. Donc soit c'est sans rapport, soit ça lui a pris un bon bout de temps pour faire mumuse avec iTunes
Que trouves-tu au même moment dans les fichiers consoles suivants ? (AppFirewall .log à log.5)
Mon mot de passe de session apple n'est pas compliqué c'est vrai.
Après apple script je m'en sert jamais.
En ce qui concerne le firewall log j'ai rien d'anormal ce que justement je ne comprend pas. Il devrait y avoir un trace quelque part.
Firewall[485]: krb5kdc is listening from :::88 proto=6
Firewall[485]: krb5kdc is listening from 0.0.0.0:88 proto=6
Firewall[485]: iTunes is listening from 0.0.0.0:3689 proto=6
Firewall[485]: iTunes is listening from :::3689 proto=6
Et pour safari idem je n'ai rien touché durant ce cours moment de freestyle de l'écran, les fenetres du finder souvrai, safari, itunes browsé.
Après que les gens croient ou pas a l'histoire c'est le cadet de mes soucis, je veux seulement comprendre, je suis quelqu'un de rationnel, chaque chose a une explication je veux juste tenté de savoir, prevenir pour guérir et pas envie de me retrouver la prochaine fois si il y a avec des données importantes effacés que je n'ai pas eu le temps de sauvegarder car ce que j'ai retenu de cette expérience c'est que le mac était en idle pendant 1 heure, genre le type est sur que l'ordi n'est pas utilisé pendant un long bout de temps pour que la personne devant ne vois rien.
---------- Nouveau message ajouté à 22h57 ---------- Le message précédent a été envoyé à 22h46 ----------
Un truc en plus qui me turlupine. Pourquoi dans les log ma tablette wacom me fais sa:
02/12/09 15:12:51 com.wacom.wacomtablet[106] TabletDriver[106]: CGSKeyTranslateInitialize: KLGetCurrentKeyboardLayout or KLGetKeyboardLayoutProperty is not available, fall back to USA keymap
J'ai beau regarder tous les logs, plus anciens des jours précédents voir semaines également, jamais j'ai eu ce message de la part de la tablette wacom. Comme je l'ai expliqué, lorsque j'ai vu tout cela j'ai essayer de donner un coup de souris sur ma tablette sa ne bougeais pas, j'ai récupérer le control seulement après avoir débrancher le cable ethernet.
Après apple script je m'en sert jamais.
En ce qui concerne le firewall log j'ai rien d'anormal ce que justement je ne comprend pas. Il devrait y avoir un trace quelque part.
Firewall[485]: krb5kdc is listening from :::88 proto=6
Firewall[485]: krb5kdc is listening from 0.0.0.0:88 proto=6
Firewall[485]: iTunes is listening from 0.0.0.0:3689 proto=6
Firewall[485]: iTunes is listening from :::3689 proto=6
Et pour safari idem je n'ai rien touché durant ce cours moment de freestyle de l'écran, les fenetres du finder souvrai, safari, itunes browsé.
Après que les gens croient ou pas a l'histoire c'est le cadet de mes soucis, je veux seulement comprendre, je suis quelqu'un de rationnel, chaque chose a une explication je veux juste tenté de savoir, prevenir pour guérir et pas envie de me retrouver la prochaine fois si il y a avec des données importantes effacés que je n'ai pas eu le temps de sauvegarder car ce que j'ai retenu de cette expérience c'est que le mac était en idle pendant 1 heure, genre le type est sur que l'ordi n'est pas utilisé pendant un long bout de temps pour que la personne devant ne vois rien.
---------- Nouveau message ajouté à 22h57 ---------- Le message précédent a été envoyé à 22h46 ----------
Un truc en plus qui me turlupine. Pourquoi dans les log ma tablette wacom me fais sa:
02/12/09 15:12:51 com.wacom.wacomtablet[106] TabletDriver[106]: CGSKeyTranslateInitialize: KLGetCurrentKeyboardLayout or KLGetKeyboardLayoutProperty is not available, fall back to USA keymap
J'ai beau regarder tous les logs, plus anciens des jours précédents voir semaines également, jamais j'ai eu ce message de la part de la tablette wacom. Comme je l'ai expliqué, lorsque j'ai vu tout cela j'ai essayer de donner un coup de souris sur ma tablette sa ne bougeais pas, j'ai récupérer le control seulement après avoir débrancher le cable ethernet.
Perso, je te crois. J'avais lu dans une revue Mac il y a quelques années (à l'époque on devait être sur Panther ou Tiger) un témoignage quasiment identique au tien. Ce témoignage avait fait l'objet d'un long article en matière de sécurité.
La victime avait complètement perdu la maitrise de son ordinateur, le hacker gardait constamment la main. Finalement elle a débranché le modem et l'histoire s'est arrêtée là. Mais j'avoue que je ne me souviens ni des explications ni des solutions apportées dans l'article par rapport à ça (et j'ai dû jeter la revue en question, depuis le temps). Il faut reconnaitre que ce n'est pas commun.
La victime avait complètement perdu la maitrise de son ordinateur, le hacker gardait constamment la main. Finalement elle a débranché le modem et l'histoire s'est arrêtée là. Mais j'avoue que je ne me souviens ni des explications ni des solutions apportées dans l'article par rapport à ça (et j'ai dû jeter la revue en question, depuis le temps). Il faut reconnaitre que ce n'est pas commun.
Je voudrais approfondir une piste :
Tu dis que ce Unibody est l'ordinateur de boulot : Est-ce que au boulot, il y à un administrateur réseau du parc de machine Apple ?
Dans le Apple Remote Desktop, quand tous les ordinateurs d'un réseau sont configurés, il suffit de se tromper d'une ligne, et on prends en main l'ordinateur de quelqu'un qui n'a rien demandé....
Edit : Laisse tomber : Les prise de contrôle avec ARD laissent des traces dans la console, ce qui n'est pas ton cas.
Si non, ton mot de passe est-il dans le top 20 des mots de passe les plus utilisés ?
Tu dis que ce Unibody est l'ordinateur de boulot : Est-ce que au boulot, il y à un administrateur réseau du parc de machine Apple ?
Dans le Apple Remote Desktop, quand tous les ordinateurs d'un réseau sont configurés, il suffit de se tromper d'une ligne, et on prends en main l'ordinateur de quelqu'un qui n'a rien demandé....
Edit : Laisse tomber : Les prise de contrôle avec ARD laissent des traces dans la console, ce qui n'est pas ton cas.
Si non, ton mot de passe est-il dans le top 20 des mots de passe les plus utilisés ?
ah mais moi aussi, je suis qqun de rationnel, ne te méprends pas
Je ne me moque absolument pas de toi
J'essaye aussi de comprendre, rassure toi
Moi, ce qui me turlupine, au risque de me répéter, c'est pourquoi un pirate, après avoir si insidieusement pénétré ton ordi, ne s'est contenté que de faire mumuse avec ton finder ! et de manière "visuelle" qui plus est, alors qu'il aurait pu mettre le souck sans que tu ne t'en rendes compte
et j'attends aussi avec impatience la raison/l'expliquation de cette intrusion
bonne journée
Ho... s'il ne s'agit que d'une attaque pour faire prendre conscience de la fragilité du système, l'explication [au fait qu'il se soit contenté de jouer avec les fenêtres] est toute trouvée.
ah mais moi aussi, je suis qqun de rationnel, ne te méprends pas
Je ne me moque absolument pas de toi
J'essaye aussi de comprendre, rassure toi
Moi, ce qui me turlupine, au risque de me répéter, c'est pourquoi un pirate, après avoir si insidieusement pénétré ton ordi, ne s'est contenté que de faire mumuse avec ton finder ! et de manière "visuelle" qui plus est, alors qu'il aurait pu mettre le souck sans que tu ne t'en rendes compte
et j'attends aussi avec impatience la raison/l'expliquation de cette intrusion
bonne journée
perso, je veux bien croire a l'histoire de Susu (plus qu'a un canular ou un macuser mythomane)
Arlequin, imagines que ca t'arrive: tu vas te demander pourquoi le gars browse ton itunes 5 minutes mais c'est pas le plus important (et toute facon ya pas de reponses). Non tu te demanderas comment ca a pu arriver pour te proteger et c'est tout.
Leyry, le fait que ce mac soit un mac du boulot cést ecrit ou? Dans ce cas, on peu t imaginer que Susu (tu peux confirmer?) ne maitrise pas pour ce qui est installé sur ce mac? acces a distance, etc...
je ne pensais pas à un canular
et à vrai dire, je ne pense à rien de particulier
Chacun sa manière d'aborder le "problème"
Il est évident que si cela devait m'arriver, j'essayerais de savoir le "comment", mais le "pourquoi" également ! Tu t'en "fiches", moi pas ... c'est tout
Je ne fait qu'explorer d'autres pistes avant de crier au loup, je ne me moque de personne, je ne crie pas au troll, je n'ai pas d'action chez Apple, j'essaye d'aborder le sujet d'une autre manière, et si cela ne plait pas ou semble ridicule, point barre. ce n'était que mon avis, et ce , sans animosité aucune
est ce plus clair ainsi
---------- Nouveau message ajouté à 11h09 ---------- Le message précédent a été envoyé à 11h08 ----------
je n'ai pas tout lu (dans les liens donnés dans les commentaires), mais il semble que la véracité de cet acte soit quelque peu ... louche, non ?
Ce portable est juste un portable de boulot secondaire quand je suis en déplactement, mais a ce moment la il n'étais pas connecté en réseaux avec mes autres mac qui était éteinds.
Après mon mdp je ne dirais pas qu'il est dans le top 20 des mdp les plus utilisés mais il est simple oui. Un simple mot anglais de 7 lettre.
---------- Nouveau message ajouté à 11h46 ---------- Le message précédent a été envoyé à 11h42 ----------
J'ai essayer de regarder les logs du routeur, mais il affiche quedale, j'ai une option d'envoi des logs sur mon email, je l'ai fai je reçois un mail blanc... super.
Mais bon si il est passé par le routeur très fort, de craquer une clé wap psk 2 encrypté en tkip+aes
celui par contre il est pa trop basique ^^ bon il est pa long mais bon. Après depuis des années les algorythmes de "hackesr" pour percer les mdp wifi on beaucoup évolué.
J'avais demandé a un pote qui est programmeur son avis sur ce qui est passé il a vu mes logs et selon lui chose certaine le mec est sur linux. Du moins il connais le noyau unix car il n'a laisser aucunes traces, du moin de son entrée, car il reste des ligne dans les logs qui ne sont pas normales comme le keymap du clavier qui passe en US remarqué par Leyry Hynemonth et surtout le keymap de ma tablette wacom alors que j'ai filtrer dans les logs c'est la première fois que j'ai ce message depuis que j'ai installé snow leopard. Un hacker sous windows ne connaissant pas le noyau unix ne pourrais effacer ses traces. Comme il m'a dit la première chose qu'il ferait si il hacker avant de faire quoi que se soit une fois la prise de controle faite, c'est d'effacer ses traces.
Après lui non plus ne vois pas comment, il y a tellement de possibilités, faille de l'OS, ou faille du provider internet aussi. Je suis sur numéricable.
J'avais demandé a un pote qui est programmeur son avis sur ce qui est passé il a vu mes logs et selon lui chose certaine le mec est sur linux. Du moins il connais le noyau unix car il n'a laisser aucunes traces, du moin de son entrée, car il reste des ligne dans les logs qui ne sont pas normales comme le keymap du clavier qui passe en US remarqué par Leyry Hynemonth et surtout le keymap de ma tablette wacom alors que j'ai filtrer dans les logs c'est la première fois que j'ai ce message depuis que j'ai installé snow leopard. Un hacker sous windows ne connaissant pas le noyau unix ne pourrais effacer ses traces. Comme il m'a dit la première chose qu'il ferait si il hacker avant de faire quoi que se soit une fois la prise de controle faite, c'est d'effacer ses traces.
Après lui non plus ne vois pas comment, il y a tellement de possibilités, faille de l'OS, ou faille du provider internet aussi. Je suis sur numéricable.
par où aurait il pu passer d'autre ?
ton wifi est actif ? mais tu es connecté par cable réseau, c'est bien ça ?
s'il a craqué le wifi, cela restreint le champ d'investigation (fâché avec un voisin ? )
s'il est passé par le net, là c'est plus vaste
edit: tiens je pensais à un truc... si pas par le net ni le wifi, y'a t'il une quelconque trace d'un pilotage par iphone ou autre gsm ?
Mon iPhone était en veille donc wifi désactivé automatiquement. Oui mon wifi est activé sur le routeur et je suis branché en cable ethernet. Je pense que c'est probable qu'il ai pu passer par le wifi. Je ne peux pas vérifié vu que mon routeur de m***e (celui fournit avec numéricable) m'envois des logs du firewall blanc.
---------- Nouveau message ajouté à 12h51 ---------- Le message précédent a été envoyé à 12h49 ----------
Quel intêret je ne suis pas dans sa tête. Réflexe ?
---------- Nouveau message ajouté à 12h51 ---------- Le message précédent a été envoyé à 12h49 ----------
Quel intêret je ne suis pas dans sa tête. Réflexe ?
