Fausse alert !!! Peut-être ? Google est mon ennemi sans doute. Ce n'est pas un spyware au sens Windows du terme, c'est à dire que ce n'est pas un programme qui s'installe à l'insu de la volonté de l'utilisateur "stupide". Mais c'est un code en javascript, voir les exemples plus loin.
Comment je l'ai remarqué : Sur un site que je fréquente régulièrement, hier, j'ai remarqué que lorsque je voulais voir le contenu d'un lien, je devais cliquer 2 fois si il s'ouvrait dans la fenêtre principale. Parcontre si je ce lien s'ouvrait dans un pop-up, je ne voyais jamais le contenu. Parcontre à chaque click, je voyais la barre de progression de icewasel/firefox fonctionner "correctement". Lors de "premiers" click, première tentative de visite, j'ai aussi aperçu dans la barre d"état une url avec kr et google.com. J'ai installé Etherape, tcpdump et la j'ai clairement vu un traffic http vers une adresse kr-in-fXX.google.com avec XX étant un nombre de 2 ou 3 chiffres. J'ai fais un netstat et j'ai rien vu. J'ai essayé avec konqueror et idem, j'ai donc cru à une vérole sur ma machine, j'ai posté le mail et j'ai coupé mon réseau. Ce midi, au boulot, j'ai lu mes mails dont le tien et celui d'Olivier Nicolas. Quand je suis rentré à la maison, j'ai redémarré mon réseau, surfé avec konqueror sur unixtech.be (j'ai bien vu un lien vers google, le adds by google) mais rien d'autre, idem sous firefox. J'ai tenté le site qui posait problème hier (sous les 2 butineurs), il fonctionne parfaitement mais revoila le krMachinChose.google.com. Là un lsof -n | grep ip_du_machinchose et j'ai vu apparaitre firefox comme résultat. C'est là que j'ai compris, je suis allé voir un site dont je connais les sources (le mien) pas de problème. J'essaies abconcert.be revoila le copain. Plus de doutes, c'est un problème dans la page web. Je regardes la source d'une page de l'AB, une de l'autre site et je fais une recherche sur google. Dans les deux cas, je tombe sur un google-analytics.com. Je prend un autre page de l'AB même recherche et je trouve la même chose, enfin presque. Donc conclusion, merci l'ennemi google. Si quelqu'un analyse le code, je suis curieux de savoir ce qu'il fait. --- Exemple le site abconcert.be ---- La page des concerts ----- <script src="https://ssl.google-analytics.com/urchin.js"; type="text/javascript"> </script> <script type="text/javascript"> _uacct = "UA-1131930-1"; urchinTracker("en/concerts/concertlijst/"); </script> Le concert du groupe apocalyptica ----- <script src="https://ssl.google-analytics.com/urchin.js"; type="text/javascript"> </script> <script type="text/javascript"> _uacct = "UA-1131930-1"; urchinTracker("en/concerts/concertinfo//apocalyptica"); </script> On Tuesday 15 May 2007 13:02, Xavier Mertens wrote: > Pas cool... > Maintenant, une fois le petit méchan mis hors d'état de nuire, tu peux > analyser un peu et remonter l'info vers la liste? (ou vers moi en privé si > la liste n'est pas intéressée ;-) > > Comment il s'est installé, quels fichiers ont été corrompu etc... > > Tx! > > -----Original Message----- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] On Behalf Of Thierry Leurent > Sent: lundi 14 mai 2007 23:38 > To: linux@lists.unixtech.be > Subject: [linux] La merde, j'ai un spyware > > Bonsoir, > > Eh bien oui ça existe même sous notre os. > Ce soir, j'ai remarqué qu'un site fonctionnait mal (c'est pas l'habitude), > je devais cliquer deux fois au lieu d'une. Par hasard, j'ai un truc avec > google dans la barre d'état. > un tcpdump > debian:/home/backfromhell# tcpdump | grep google > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes > 23:20:15.587571 IP kr-in-f164.google.com.www > 192.168.0.199.56289: . > 2145009053:2145010483(1430) ack 2945896467 win 6432 > 23:20:15.587586 IP 192.168.0.199.56289 > kr-in-f164.google.com.www: . ack > 1430 win 11440 > 23:20:15.591745 IP 192.168.0.199.56289 > kr-in-f164.google.com.www: . ack > 2860 win 14300 > 23:20:15.591882 IP 192.168.0.199.56289 > kr-in-f164.google.com.www: . ack > 2953 win 14300 > 23:20:21.923673 IP 192.168.0.199.54330 > ag-in-f147.google.com.www: . ack > 3909747492 win 6432 > 23:20:22.027968 IP 192.168.0.199.56331 > kr-in-f164.google.com.www: S > 2949030037:2949030037(0) win 5840 <mss 1460,sackOK,timestamp 4294913992 > 0,nop,wscale 6> > 23:20:22.130273 IP kr-in-f164.google.com.www > 192.168.0.199.56331: S > 3883082762:3883082762(0) ack 2949030038 win 8190 <mss 1452> > 23:20:22.130302 IP 192.168.0.199.56331 > kr-in-f164.google.com.www: . ack 1 > win 5840 > > un netstat > debian:/home/backfromhell# netstat -ano | grep 585 > tcp 0 0 192.168.0.199:58516 66.102.11.166:80 > ESTABLISHEDoff (0.00/0/0) > tcp 0 0 192.168.0.199:58520 66.102.11.166:80 > ESTABLISHEDoff (0.00/0/0) > unix 3 [ ] STREAM CONNECTED 13585 > > C'est bien beau mais je ne trouve pas le coupable > > Une soluce ? > > Merci > > -- > Thierry Leurent > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: > http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > IRC: chat.unixtech.be:6667 - #unixtech > NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech > > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: > http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux Archives: > http://www.mail-archive.com/linux@lists.unixtech.be > IRC: chat.unixtech.be:6667 - #unixtech > NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech -- Thierry Leurent _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: chat.unixtech.be:6667 - #unixtech NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
