Testfile

[Ronparchita]

Bonjour,

Je decouvre un fichier nomme testfile executable Unix de 4Ko dans mon dossier Public

Ce n'est pas moi qui l'y ai mis,

Un visiteur?

Qu'en pensez vous?

[Tof]

que donne?: ls -ald /volume1/public/testfile

lui changer ses attributs (seul root pourra lire et écrire): chmod 600 /volume1/public/testfile ; chown root /volume1/public/testfile

que donne?: cat /volume1/public/testfile

si lisible et peu important (sinon MP), montre le résultat, on en saura plus

a+

[Ronparchita]

que donne?: ls -ald /volume1/public/testfile

lui changer ses attributs (seul root pourra lire et écrire): chmod 600 /volume1/public/testfile ; chown root /volume1/public/testfile

que donne?: cat /volume1/public/testfile

si lisible et peu important (sinon MP), montre le résultat, on en saura plus

a+

Merci de ta réponse et vraiment desole, j'ai eu peur de dommages irreparables, j'ai mis ce fichier a la poubelle et l'ai efface definitivement puis j'ai desactive l'acces FTP sur le Syno, et en fin de compte je l'ai eteint.

Il faudrait que je m'attelle a ton dernier tuto pour avoir un acces securise mais j'ai trop de travail et pas assez de temps;

Bizarre, j'avais sorti public de l'acces via mot de passe pour utilisateur externe.

Je decouvre un monde...

Il va me falloir remettre le Syno en route.

C'est bizarre aussi de ne pas avoir eu d'avis pour signaler ta reponse.

En tous cas merci encore.

[Ronparchita]

que donne?: ls -ald /volume1/public/testfile

lui changer ses attributs (seul root pourra lire et écrire): chmod 600 /volume1/public/testfile ; chown root /volume1/public/testfile

que donne?: cat /volume1/public/testfile

si lisible et peu important (sinon MP), montre le résultat, on en saura plus

a+

Je n'avais pas vu, m'etant arrete au premier, mais il y a un autre fichier qui s'appelle bulk.exe avec la meme icone que celui dont j'avais parle precedemment, un espece de diable,

Dans la fenetre public, date de modif : vendredi 24 fevrier 2006, 18:18 , taille 120 Ko et type : Fichier executable Unix

J'ai ajuste les commandes que tu m'as donnees, mais sur la console...

DiskStation> ls -ald/volume1/public/bulk.exe

ls: invalid option -- /

BusyBox v1.1.0 (2006.09.22-17:14+0000) multi-call binary

Usage: ls [-1AacCdeFilnpLRrSsTtuvwxXhk] [filenames...]

DiskStation> chmod 600 /volume1/public/bulk.exe ; chown root/volume1/public/bulk.exe

BusyBox v1.1.0 (2006.09.22-17:14+0000) multi-call binary

Usage: chown [ -Rh ]... OWNER[<.|:>[GROUP]] FILE...

DiskStation> cat /volume1/public/bulk.exe

MZ???@??? ?!?L?!This program cannot be run in DOS mode.

??$??O??+??O??%?? ?????&2?????1??!??Rich ??PELob?C?

???@ ??.text?:`?.rdata`? >`?.data P\^`?.mrwrsxo@p@?0??`?PEPACK!!0??`?.Polyenea?`?????*????I?r????f?h8g25~???[?C[T?E^??????!?e?G?????R?????Y??????/???.s??;?g???[ #'???i?O?l$sO@97ùt?g???b7?g?G-c3?a??sCp35?E?S??G etc etc

ca donne enormement de "pages", je veux dire c'est tres long et en ce qui me concerne (je ne suis pas une reference) ca ne me dit rien.

Est-ce que le syno peut-etre virusse avec un fichier .exe?

Je suis retourne voir sur la config ftp du Syno et j'ai desactive l'acces anonimus que j'avais du activer pour ftp parce que sans la connection ne marchait pas,

maintenant (je ne sais pas pourquoi) apres cette desactivation l'acces aftp fonctionne via l'IP (a partir de ma session).

Il me semblait que tu avais mis en ligne un tuto pour une connection securisee via http, mais pas celle du wiki, je n'arrive pas a la retrouver, est-ce que je me trompe?

Bien a toi.

[Tof]

> ...ls -ald/volume1/public/bulk.exe

non, non un espace avant /volume1...

ls -ald /volume1/public/bulk.exe

de manière générale c'est: commande options arguments

c'était pour connaître les caractéristiques du fichier, notamment s'il était exécutable.

> ... chown root/volume1/public/bulk.exe

non, non un espace avant /volume1

chmod 600 /volume1/public/bulk.exe ; chown root /volume1/public/bulk.exe

c'était pour autoriser seulement r&w sur le fichier pour le proprio, changé en root

> MZ???@???

exécutable windows

> Est-ce que le syno peut-etre virusse avec un fichier .exe?

oui... et non

sous unix, n'importe quel fichier (.exe, .virus, .toto) peuvent être défini exécutable et donc être des programmes, c'est les droits du fichier qui le permettent.

à l'inverse de win où c'est l'extension (dont la plus connue .exe) qui permet l'exécution.

encore faut-il que le code soit prévu pour s'exécuter sur la plateforme visée. dans ton cas, ce n'est pas possible, c'est un programme windows. c'est un trojan:

[small]WORM_AGOBOT.BBT : Upon execution, this worm drops a copy of itself as BULK.EXE in the Windows system folder...[/small]

y'a-t-il un windows qui a accès à ton réseau? dans ce cas, il est fort possible qu'il soit infecté

ou bien il est possible effectivement que ce soit un accès indésiré

> Il me semblait que tu avais mis en ligne un tuto pour une connection securisee via http,

euh.. non, pas que je sache, le seul truc de sécurisé que j'utilise c'est ssh.

en connexion, tu peux aussi utiliser le principe du VPN (openVPN, mais je ne sais pas si sous Mac c'est possible) mais je n'utilise pas avec syno

c'est très sûr, mais donc un peu rigide à mettre en place côté client

http, c'est le web, éventuellement si les infos sont confidentielles: https (http+ssl)

[Thirganor]

Ronparchita, n'oubli pas que google est ton ami

Tapes bulk.exe et tu verras toi même, la première page n'affiche que des alertes ...

[Ronparchita]

Je l'ai refait correctement,

J'ai mis le debut :

DiskStation> ls -ald /volume1/public/bulk.exe

-rw------- 1 (ici le nom d'un utilisateur) users 119808 Feb 24 2006 /volume1/public/bulk.exe

DiskStation> chmod 600 /volume1/public/bulk.exe ; chown root /volume1/public/bulk.exe

DiskStation> cat /volume1/public/bulk.exe

MZ???@??? ?!?L?!This program cannot be run in DOS mode.

??$??O??+??O??%?? ?????&2?????1??!??Rich ??PELob?C?

???@ ??.text?:`?.rdata`? >`?.data P\^`?.mrwrsxo@p@?0??`?PEPACK!!0??`?.Polyenea?`?????*????I?r????f?h8g25~???[?C[T?E^??????!?e?G?????R?????Y??????/???.s??;?g???[ #'???i?O?l$sO@97ùt?g?

la il y en a des kilometres....

y'a-t-il un windows qui a accès à ton réseau? dans ce cas, il est fort possible qu'il soit infecté

Non, il n'y en a pas,

ou bien il est possible effectivement que ce soit un accès indésiré

> Il me semblait que tu avais mis en ligne un tuto pour une connection securisee via http,

euh.. non, pas que je sache, le seul truc de sécurisé que j'utilise c'est ssh.

en connexion, tu peux aussi utiliser le principe du VPN (openVPN, mais je ne sais pas si sous Mac c'est possible) mais je n'utilise pas avec syno

c'est très sûr, mais donc un peu rigide à mettre en place côté client

http, c'est le web, éventuellement si les infos sont confidentielles: https (http+ssl)

Comment definir un Syno? C'est un ordinateur avec un espace de stockage administre par un programme comme Dos, ou Unix ou Linux et si oui c'est quoi ce programme, et si j'ai tout faux tu peux me dire stp en quelques mots?

Merci,

[Ronparchita]

Ronparchita, n'oubli pas que google est ton ami

Tapes bulk.exe et tu verras toi même, la première page n'affiche que des alertes ...

Merci, j'ai vu, mais je n'arrive pas a comprendre le plaisir qu'il peut y avoir a chercher a nuire a des gens qu'on ne connait pas, sachant que c'est ceux a qui ont aurait des motifs de nuire parce qu'ils nous truandent ou nous abiment la sante qui sont les mieux equipes pour se proteger.

C'est un peu comme empoisonner l'eau potable.

[Tof]

Comment definir un Syno?

le syno est un ordinateur (processeur/mémoire/interfaces) avec, en apparence, seulement une console d'administration web pour gérer un nombre d'applications définies et limitées.

en activant telnet, on découvre la face cachée, le système d'exploitation GNU/Linux (Unix like), sans interface graphique, uniquement en mode commande.

un peu comme ton Mac (d'origne BSD, unix) qui en plus, lui, possède une interface graphique (aqua je crois), avec un clickodrome pour faciliter l'utilisation. mais les interfaces graphiques demande des ressources processeur/memoires très importantes, hors de portée d'un syno.

[Tof]

> ls -ald /volume1/public/bulk.exe

-rw------- 1 (ici le nom d'un utilisateur) users ...

(ici le nom d'un utilisateur) indique celui qui a chargé (pas forcément volontairement) le trojan, par ftp, un utilisateur windows j'imagine. rw (read & write) sont les seuls droits pour ce fichier, il ne peut s'exécuter. s'il l'était, en lui accordant les droits exécutable (x), ça ne ferait que planter le syno, puisque prévu pour windows.

> chmod 600 /volume1/public/bulk.exe ; chown root /volume1/public/bulk.exe

sécurité pour limiter les droits et prendre possession d'un fichier douteux

> DiskStation> cat /volume1/public/bulk.exe

ok, c'est du binaire incompréhensible, y'a rien à en apprendre

>> il est possible effectivement que ce soit un accès indésiré

ou un utilisateur windows infecté

[Tof]

mais je n'arrive pas a comprendre le plaisir qu'il peut y avoir a chercher a nuire a des gens qu'on ne connait pas

c'est pas un plaisir, bien souvent maintenant, c'est un "outil" pour relayer des attaques massives sur une cible en se servant d'une quantité d'ordinateurs infectés.

ou un pc infecté qui sert de relais pour une intrusion, comme cela c'est ton pc qui apparaît comme intrus.

c'est de l'ordre du grand banditisme

reste encore la destruction pure et simple, le vol de données (au hasard) et aussi, la volonté de prouver que windows est une passoire jamais sécurisée.

c'est de l'ordre du vandalisme de racaille

les motivations sont nombreuses, et connecté sur l'internet, ton syno est une cible (si des programmes serveurs tournent) qui sera testée plus souvent que tu ne l'imagines.

[Ronparchita]

>> il est possible effectivement que ce soit un accès indésiré

ou un utilisateur windows infecté

Si les pirates du Net sont infectes, ou va le monde ?

Donc j'ai juste a le mettre a la poubelle?

(j'ai ete avise de ton message)

[Tof]

Si les pirates du Net sont infectes, ou va le monde ?

Donc j'ai juste a le mettre a la poubelle?

c'est pas ce que je voulais dire, si c'est un user que tu as crée, je pense plutôt à une infection de celui, en toute honnêteté.

poubelle. c'est sans conséquence, et c'est l'avantage du sytème linux, c'est que les virus windows ne peuvent faire de dégâts et de plus, les droits normaux des utilisateurs sont limités, notamment l'accès où ils ne sont pas autorisés.

[Ronparchita]

c'est pas ce que je voulais dire, si c'est un user que tu as crée, je pense plutôt à une infection de celui, en toute honnêteté.

poubelle. c'est sans conséquence, et c'est l'avantage du sytème linux, c'est que les virus windows ne peuvent faire de dégâts et de plus, les droits normaux des utilisateurs sont limités, notamment l'accès où ils ne sont pas autorisés.

Bonjour,

Cette fois pas d'avis d'arrivee de ton message.

Mon mini reseau ne comprend jamais de PC (impossibilite de le raccorder, j'ai un modem Free tres ancien).

Si dans un premier temps, j'ai pense que c'etait un user du mini reseau qui s'etait connecte a cause du prenom, j'ai pense ensuite que c'etait peut-etre "le visiteur" qui avait laisse l'empreinte de l'identite de son ordi, d'ou ma boutade sur les pollueurs victime de leur pollution.

Surprise

Je me servais de Netbackup pour sauvegarder mon HD.

En rendant visite aux fichiers des logiciels des appli, j'ai decouvert que tout ce qui apparait sur mon ordi avec comme icone une page blanche cornee en haut a droite etait devenu un dessin de petit diable...

J'ai tente d'effacer via rm -r * chacun de mes dossiers sauves (appli, biblio, systeme, etc,) mais il y a des fichiers qui font de la resistance.

Comme ca ne pese rien, je laisse, mais je croyais que sous telnet en root, rien ne resisterait.