Probable infection sur mon réseau ?

[Titelea0804]

Bonjour a tous,
Ayant parcouru les forums de Mac Generation, j'ai trouvé sur une des pages d'aide aux utilisateurs une commande a faire dans le terminal.

Je vous copie celle ci.
et par conséquent, je me pose la question de ces 3 dernières lignes. Est ce une infection... ou pas. Je vous remercie de votre aide et de vos réponses.

sudo tcpdump -e -vv -K -c 5 -i en1
tcpdump: listening on en1, link-type EN10MB (Ethernet), capture size 65535 bytes
12:49:59.132176 30:7e:cb:45:3b:e0 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 42: (tos 0x90, ttl 1, id 64480, offset 0, flags [none], proto IGMP (2), length 28)
neufbox > all-systems.mcast.net: igmp query v2
12:49:59.133052 30:7e:cb:45:3b:e0 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 42: (tos 0x90, ttl 1, id 64481, offset 0, flags [none], proto IGMP (2), length 28)
172.16.255.254 > all-systems.mcast.net: igmp query v2
12:50:00.025229 d8:30:62:4e:56:8d (oui Unknown) > 30:7e:cb:45:3b:e0 (oui Unknown), ethertype IPv4 (0x0800), length 82: (tos 0x0, ttl 255, id 26736, offset 0, flags [none], proto UDP (17), length 68)
192.168.1.92.61806 > neufbox.domain: 2312+ PTR? 1.0.0.224.in-addr.arpa. (40)
12:50:00.061427 30:7e:cb:45:3b:e0 (oui Unknown) > d8:30:62:4e:56:8d (oui Unknown), ethertype IPv4 (0x0800), length 117: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 103)


mais quel est ce in-addr.arpa ???
neufbox.domain > 192.168.1.92.61806: 2312 q: PTR? 1.0.0.224.in-addr.arpa. 1/0/0 1.0.0.224.in-addr.arpa. PTR all-systems.mcast.net. (75)
12:50:00.070509 d8:30:62:4e:56:8d (oui Unknown) > 30:7e:cb:45:3b:e0 (oui Unknown), ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 255, id 49459, offset 0, flags [none], proto UDP (17), length 70)
192.168.1.92.62146 > neufbox.domain: 21491+ PTR? 1.1.168.192.in-addr.arpa. (42)
5 packets captured

---------- Nouveau message ajouté à 14h02 ---------- Le message précédent a été envoyé à 13h31 ----------

Et j'ai egalement le proto UDP (17), length 103) uitlisé ... il parait .. selon certains forum que ce n'est pas une bonne chose...

 

[ntx]

mais quel est ce in-addr.arpa ???

Mais arrêtez de vouloir trouver des virus sur Mac !!! :rateau:

Avant d'ouvrir des sujets relevant plus de la paranoïa que de l'informatique, faites un minimum d'effort de recherche pour voir ce que ce raconte Google.

 

[Titelea0804]

Mais arrêtez de vouloir trouver des virus sur Mac !!! :rateau:

Avant d'ouvrir des sujets relevant plus de la paranoïa que de l'informatique, faites un minimum d'effort de recherche pour voir ce que ce raconte Google.

je comprend tout a fait et je suis sujette a la paranoia. toutes les informations je les ai trouvées sur le site MacGeneration, plus précisément sur le forum. Peut etre qu'il n'y a pas de virus... mais des malwares si !. Merci de votre réponse en tout ^_^

 

[Polo35230]

Bonjour,

Je ne pense pas que ce soit lié a un virus.
Pour moi, il me semble que c'est simplement la trace d'une requête de "Reverse DNS" (recherche d'un nom à partir d'une adresse IP. Une requête DNS, c'est l'inverse)
La correspondance adresse-nom constitue un enregistrement PTR.

1.1.168.192.in-addr.arpa signifie que la machine 192.168.1.1 est serveur DNS (ou reverse DNS, ou même relai DNS? pas sûr...), et que sa racine est in-addr.arpa
Enfin, je crois. Chuis pas spécialiste...

DNS s'appuie sur UDP.
UDP(17), length (103) n'est pas inquiétant en soi. Les 103 octets de données sont certainement propres à la requête DNS.
Pour savoir ce qu'il y a dedans, il faudrait rajouter -A dans la commande tcpdump.

Une trace wireshark serait beaucoup plus claire...

 

[Titelea0804]

Eh bien merci beaucoup !! C'est vrai qu'a force de lire des messages sur les forums... je deviens parano !! En tout cas merci vous m'enlevez une épine du pied...

 

[ntx]

Peut etre qu'il n'y a pas de virus... mais des malwares si !. Merci de votre réponse en tout ^_^

Les quelques malware qui existent sont parfaitement identifiés ainsi que leur comportement. Si certains de ces malwares sont bien programmés pour accéder à des erreurs distants, ce que tu nous décrits ne correspond pas à leur fonctionnement. Par ailleurs, pour tous ces malwares, il existe des procédures de détection et d'éradication clairement expliquées.

 

[Titelea0804]

Les quelques malware qui existent sont parfaitement identifiés ainsi que leur comportement. Si certains de ces malwares sont bien programmés pour accéder à des erreurs distants, ce que tu nous décrits ne correspond pas à leur fonctionnement. Par ailleurs, pour tous ces malwares, il existe des procédures de détection et d'éradication clairement expliquées.

Eh bien en tout cas merci beaucoup ! Effectivement mon frère à téléchargé des logiciels piratés, du coup je me suis inquiétée! J'ai tout effacer, et j'ai supprimé les applications avec app zappeur. Mais effectivement je n'ai pas remarqué de comportements étranges sur mon Mac. Donc j'arrête de m'inquiéter.... Pour le moment !!!