In article <1iggqi0.1gpsnte1vf5834N%sergiot.bidon***free.invali d.fr>,
sergiot.bidon***free.invalid.fr (Sergio) wrote:

> Constatant une activité anormalement fébrile de mon disque dur puis
> ensuite du lecteur optique, j'ai été voir "Moniteur d'activité" et j'ai
> constaté qu'un utilisateur nommé "personne" avait lancé un shell "sh" et
> une opération "find" ... j'ai tout de suite coupé la connexion internet
> et supprimé les processus correspondants pensant être victime d'une
> attaque pirate.
>
> Pensez-vous comme moi ou alors suis-je un peu trop parano ?

par défaut je dirais trop parano. Il aurait fallu d'abord afficher
l'arbre des process complet, pour savoir de qui dépendait ce process sh.
À mon avis, c'est bêtement la mise à jour de la base locate. Mais
maintenant, on ne le saura jamais.

> Si la réponse est oui :
>
> Que me conseillez-vous de faire ?

Couper le réseau est un bon réflexe, pour un particulier. Ensuite bien
prendre tout l'arbre des process (affichage de tous les process en mode
hierarchique) pour savoir qui est le père du process douteux (et le cas
écheant on remonte jusqu'à trouver un parent intéressant).


> J'ai d'abord été voir les log de mon routeur en entrée et récupéré des
> adresses IP que j'aimerais faire authentifier ; où est-ce le plus fiable
> à votre avis ?

pour l'identification des IP ? whois.

> Comment voir la liste des actions lancées par cet utilisateur "personne"
> qui n'existe pas ... d'ailleurs comment être sûr qu'il n'existe pas ?

il existe.

$ dscl . -read /Users/nobody
AppleMetaNodeLocation: /Local/Default
NFSHomeDirectory: /var/empty
Password: *
PrimaryGroupID: -2
RealName:
Unprivileged User
RecordName: nobody
RecordType: dsRecTypeStandard:Users
UniqueID: -2
UserShell: /usr/bin/false

Tu ne pourrait avoir la liste des commandes exécutées par cet
utilisateur que si tu avais activé l'accounting (au minimum...).


patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133

In article <1igikg8.i4anvictiv0gN%sergiot.bidon***free.invalid. fr>,
sergiot.bidon***free.invalid.fr (Sergio) wrote:

> > Il aurait fallu d'abord afficher
> > l'arbre des process complet, pour savoir de qui dépendait ce process sh.
>
> Mince je sais pô faire ... à part "ps -aux" je sais pas ...

ben ça parlait de Moniteur d'Activité au début, et il fait ça très bien.


> > À mon avis, c'est bêtement la mise à jour de la base locate. Mais
> > maintenant, on ne le saura jamais.
>
> Et cette mise à jour, est-elle obligée d'accéder au contenu du DVD
> inclus dans le lecteur optique, hummm ?

obligée, jamais, mais par défaut oui.


> Par numéro de process tu veux dire et avec "Moniteur d'activité" ou en
> CLI ?

moniteur d'activité, ne te complique pas la tâche.


> > pour l'identification des IP ? whois.
>
> Mouaif ... j'ai fait ça, mais il y une foultitude de serveurs Whois dans
> l'"Utilitaire de réseau" ... et d'autres peut-être plus pertinents qui
> n'y sont pas. Quelle stratégie utiliser alors et y a-t-il des serveurs
> plus rusés que d'autres ?

si tu ne sais pas quoi choisir, fais le dans le terminal, il choisira
pour toi.

> "nobody" existe donc, mais "personne" ? Pomme ne sait peut-être pas
> qu'un nom propre ne se traduit pas

Pomme traduit tout et n'importe quoi, c'est pour ça que j'installe tout
en anglais.

> > Tu ne pourrait avoir la liste des commandes exécutées par cet
> > utilisateur que si tu avais activé l'accounting (au minimum...).
>
> KézaKo ? Je veux savoir, ça à l'air bien ce truc !

non
ça prend des ressources, et le résultat est pénible à exploiter, voire
carrément pas pertinent parfois.
Si tu n'administres pas un serveur publique, laisse ça de coté.

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133