Victime d'une intrusion ? Help !

kertruc

Membre expert
Club iGen
23 Novembre 2002
2 251
125
Salut

Ce matin en me réveillant, j'ai constaté que dans mes préférences / partage / Services /partage web personnel les textes habituels "partage web activé... etc" étaient remplacés par des messages persos, je me souviens qu'il était question de Cupertino, d'un certain Timmy (je crois)...
J'ai pas eu le temps de noter, car quand j'ai forcé ma connexion à quitter j'ai eu une belle Kernnel panic, mais pas celle avec toutes les langues, mais un texte en blanc sur fond noir, façon DOS...
Je panique un peu... quelqu'un s'est-il introduit dans mon sysytème ?
Si oui comment savoir ce qu'il a fait, s'il n'a pas installé des trucs...
J'ai vérifié en triant mes fichiers par date, mais je ne suis pas sûr que ce soit suffisant...
En tout cas, j'ai les boules d'avoir oublié d'activer le pare-feu...
Voilà, merci de votre aide...
 
J'ai redémarré, zappé la pram réparé les autorisations, mais depuis ce truc, mon mac est LENT ! le dock se bloque, les fenêtre mettent deux heures à s'ouvrir, la souris se balade...
J'ai m'impression que ça craint... je vais peut-être passer par l'étape formatage pour être plus tranquille...
Enfin si quelqu'un a une piste...
 
tu as quoi comme connexion et a tu un firewall actif.
si oui qu'est ce qu'il y as d'actif.
a+
 
Bon, ça y est c'est le plantage définitif... personne ne peut plus rien pour moi...
Je vais essayer de sauver ce qui peut l'être...
un conseil : ACTIVEZ VOTRE PARE-FEU !
 
Tu n'aurais pas activé le partage "windaube" par hasard ? et le ftp ? avec un user facile à deviner et pas de password ? parce que firewall ou pas, si en se connectant sur ta machine, qu'on tape "admin" pour le login et "admin" pour le pass et que ça marche...
crazy.gif
tout tes users étaient avec mot de passe en béton, hein ?
 
J'ai qu'un seul user, le mot de passe est un mélange de chiffres et de lettres, si c'est ce que tu appelles "béton"...
Oui, le partage windows et ftp étaient activés... sans pare-feu...
Erreur de débutant... on ne m'y prendra plus...
Heureusement que j'avais une partition avec OS 9, je suis en train de sauvegarder toutes mes données...
Je vais changer mon pass... on ne sait jamais...
 
<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> J'ai qu'un seul user, le mot de passe est un mélange de chiffres et de lettres, si c'est ce que tu appelles "béton"...

[/QUOTE]Oui, c'est ça ! c'est du béton, surtout si ça ne veux vraiment rien dire
smile.gif


<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> Oui, le partage windows et ftp étaient activés... sans pare-feu...
Erreur de débutant... on ne m'y prendra plus...


[/QUOTE]euh, même avec le firewall je ne laisserai la passoire windows activée très longtemps ! et le ftp, sans rentrer dans les détails, il n'est pas chrooté, donc ne vraiment pas laissé activé sans surveillance, et ce, avec OU sans firewall
wink.gif


<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> Heureusement que j'avais une partition avec OS 9, je suis en train de sauvegarder toutes mes données...
Je vais changer mon pass... on ne sait jamais...


[/QUOTE]change tout, surtout ton login : ils le connaissent forcément maintenant.

Bref, bonne chance, et n'active les services que selon les besoins et le temps qu'il faut, et jamais définitivement, sinon, gare !
zen.gif
 
ça y est j'ai réinstallé le système... c'est un peu ch.... mais bon, on y arrive.

Je vais faire très attention maintenant, mais je ne suis pas très inquiet, je n'ai pas d'Ip fixe... je ne pense pas qu'ils puissent me retrouver...

Par contre je me demande s'ils on pu avoir accès à mes codes (mai, banque...) rien n'est en clair dans OS X, non ?
 
<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> ça y est j'ai réinstallé le système... c'est un peu ch.... mais bon, on y arrive.

[/QUOTE]Bah, un peu long si tu installe tout
smile.gif


<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> Je vais faire très attention maintenant, mais je ne suis pas très inquiet, je n'ai pas d'Ip fixe... je ne pense pas qu'ils puissent me retrouver...

[/QUOTE]Tu as bien tout réinstallé ? il ne faudrait pas qu'il y ai un trojan dans ta machine... car sinon, non seulement "ils" te retrouvent les doigts dans le nez, mais en plus, "ils" ont une porte d'entrée grande ouverte... Une sauvegarde des documents, de tes données importantes, puis reformatage avec une install propre, et là, tu es à l'abri... mais si tu n'es pas trop parano, alors tu oublieras vite le possible danger
wink.gif


<blockquote><font class="small">Post&eacute; &agrave; l'origine par kernnac:</font><hr /> Par contre je me demande s'ils on pu avoir accès à mes codes (mai, banque...) rien n'est en clair dans OS X, non ?

[/QUOTE]c'est pas en clair, mais c'est craquable, avec du temps et de la puissance, alors...
zen.gif
 
pour tout ceux qui aime savoir ce qui se passe sur le connexion voici une petite commande terminal :

-connexion via le port ethernet </font><blockquote><font class="small">En r&eacute;ponse &agrave;:</font><hr />
sudo tcpdump -i en0

[/QUOTE]

-connexion via airport : </font><blockquote><font class="small">En r&eacute;ponse &agrave;:</font><hr />
sudo tcpdump -i en1

[/QUOTE]

wink.gif
 
ma comande liste en temps reel ou vont les paquets de données, elle liste également toutes les activés sur un reseau local
wink.gif
 
Je pensais qu'on était à l'abri de ce genre de choses sur mac...
Je suis naïf parfois
laugh.gif


Enfin, j'espère que mon exemple en a réveillé quelques uns sur la sécurité...
zen.gif
 
Moi je trouve qu'il n'y a rien qui indique à coup sûr qu'une personne s'est introduite dans ton système pour y modifier quelque chose. Tu as peut-être été victime d'un bug de Mac OS X qui a corrompu des fichiers systèmes importants, ce qui expliquerait aussi tes kernels panics.
 
C'est possible... dommage que je n'ai pas eu le temps de faire une photo d'écran...
les messages étaient qd même bizarres...mais en y réfléchissant, cela pourrait être des messages de test des programmeurs...
Ça fait un super gros bug alors... digne de Windows...
 
J'aimerais vraiment encouragé l'utilisation du firewall de MacOS X ou celui de la borne Airport plus souvent, ainsi que la compréhension des risques encourus quand certains éléments sont partagés sur ce système.

Certes, aucun élément n'indique que tu as reçu véritablement une visite, mais dans le doûte, en sécurité, il faut toujours agir selon le pire scénario, et tu as bien fait de repartir de zéro.

L'ADSL a fait naître de nouveaux comportements et de nouveaux petits malins dont le terrain de jeu s'est bigrement agrandi.
MacOS X n'est vraiment pas à l'abri dans ce contexte, il ne s'agit pas de virus mais de tentatives d'intrusions, parfois relayée par des virus, d'ailleurs.

Le port scan a pris une ampleur phénoménale, il s'agit d'une méthode de repérage de toutes les "portes" ouvertes sur une machine pour tester des techniques d'attaques par la suite en fonction des types de portes découvertes.

Les règles d'or si vous avez une connexion haut débit ADSL ou par Cable:

- Ne partagez rien sur votre ordinateur principal, préférez monter un serveur annexe facilement "controlable et reformatable".

- Installez et utilisez votre firewall sur votre machine ou airport ou un routeur matériel pour filtrer votre connexion internet. Contactez éventuellement votre fournisseur d'accès qui peut avoir un firewall commun. Ce firewall ne sert à rien si vous lui autorisez beaucoup trop de liberté. En matière de serveur, les pros installe toujours un service par machine, jamais de serveur http-ftp-ssh-mail !

- Vérifiez régulièrement les statistiques de votre ordinateur si vous avez activé le partage d'une ressource un peu trop longtemps sans surveillance, toutes les stats sont dans /var/log, demandez sur MacG éventuellement les lignes les plus mystérieuses,

- Ayez une politique de mot de passe saine: changez régulièrement les mots de passe des comptes pouvant administrer votre ordinateur (mensuellement), choisissez des mots de passe compliqués mais pas trop pour ne pas avoir à le noter quelque part.

- Evitez vraiment de penser que ça n'arrive qu'aux autres, que vous êtes à l'abri parce que vous êtes sur Mac et que c'est le meilleur, le plus sûr etc. Sans parano excessive, il faut rester prudent et être préventif.

- Si vous partez en vacances, le meilleur conseil est d'éteindre votre ordinateur et votre modem. Mais si vous voulez le laisser en serveur, assurez vous d'avoir fait une sauvegarde totale de vos données sensibles et sur CD essentiellement: pas sur .Mac ou un autre disque dur ! Sinon à votre retour, tous les scénarios sont possibles, j'ai de belles anecdotes là-dessus.

- Si vous avez un service partagé sur votre machine, disponible à tout l'internet, suivez scrupuleusement les mises à jour proposées par Apple.

- Au moindre doûte, vous n'avez pas trop le choix: sauvegarde de vos données sensibles, reformatage et réinstallation du système, changement complet des identifiants pour les utilisateurs de votre machine. Puis remettre vos fichiers sensibles un par un en les contrôlant.

Que cherche un pirate? Large question, il y a tellement de profils différents.
Celui qu'on rencontre souvent, c'est celui qui cherche un endroit douillet pour mettre en place un serveur de logiciel piraté, il va donc d'abord chercher une porte d'entrée sur votre ordi, puis tenter de récupérer un compte après avoir identifié sur quel type de système il se trouve, s'il obtient le mot de passe d'un compte admin, c'est le paradis qui s'ouvre à lui, il va pouvoir installer ce qu'il veut et surtout effacer toutes les traces de son intrusion dans les stats etc. puis il met en place son serveur FTP principalement, il peut créer un nouveau service ou pirater un service partagé déja existant sur votre machine (une version apache légèrement modifiée par exemple comme on en trouve beaucoup qui fait son travail http mais aussi d'autres petites choses très éloignées de son but initial), le service devient alors indécelable "à l'oeil nu". Les fichiers échangés étant souvent placés au plus profond de votre machine: /usr/share/man/man3/ par exemple.
Et voilà votre machine hantée pour le bénéfice d'échangeurs de programmes illicites, votre connexion en prend un coup mais jamais trop pour ne pas éveiller vos soupçons, le logiciel installé par votre pirate sachant très bien se réserver une partie de votre connexion seulement.
L'an dernier, plus de 400 000 machines auraient connu cette mésaventure, une stat établie par un logiciel repérant justement une version précise d'apache modifiée.

A l'autre extrème, il y a le vrai voleur, qui cherchera prioritairement vos documents sensibles, il sait où les trouver: il télécharge tout votre dossier Préférences et votre trousseau d'accès qu'il pourra tranquillement décortiqué chez lui. Puis reviendra éventuellement chercher des documents précis: vos bookmarks, le cache de votre navigateur, vos mails etc.
Cette pratique est en augmentation fulgurante, il faut dire que la pêche est souvent fructueuse pour les petits malins. Ils sont souvent des intermédiaires qui revendent leur récolte à de plus gros "truands". Une première vraie affaire sur Bordeaux a démontré le lien entre un vol à l'arraché d'une carte bleue et une équipe de pirate qui avait préalablement obtenu le code de cette carte bleue dans un fichier d'un ordinateur visité, cette découverte ayant conditionné le vol de la carte réelle pour des retraits et achats non plus sur internet mais dans la rue. C'est une situation extrème mais le laxisme ambiant favorise ce genre d'actions.

Prudence, donc.