Comment vérifier une "intrusion" sur mon mac ?

[carole_tatiana]

Bonjour à tous,

Je souhaite savoir comment faire pour vérifier l'historique de toutes les modifications (ouverture, fermeture, transfert, etc...) des fichiers, dossiers ou applications (comme on pouvait le faire avec ce bon vieux Sherlock sous O.S 9).
En bref, qqun s'est probablement introduit chez moi, à peut-être transférer des fichiers depuis mon ordi vers une clef, ou hd externe, et je veux bien sûr constater (ou pas) cette intrusion. Je suis très stressée :mad:


Avec Spotlight, je n'y arrive pas, peut-être n'ai-pas tout compris ?
J'ai regardé dans consol.log et system.log mais l'historique ne remonte qu'à 3 jours.

Merci d'avance pour vos réponse, c'est très important pour moi.

Carole

 

[schwebb]

Hello,

En regardant dans Console (Applications/Utilitaires/Console), tu auras accès aux journaux du système, et tu te feras une idée de son activité (si tu parviens à comprendre les messages, ce qui n'est pas évident au premier abord).


À l'avenir, pour éviter toute intrusion: va dans Préférences système/Sécurité/Général, coche «Exiger le mot de passe», choisis «immédiatement». Ensuite, tu coches «Désactiver l'ouverture de session automatique».

 

[carole_tatiana]

Hello,
Merci beaucoup. j'ai activé depuis longtemps FileVault et mot passe à ouverture de session, mais je n'avais pas activé le mot de passe après veille. Il se trouve que quand mon ordi a été visité, il était allumé...
Je suis allée voir dans Console activité système : dans système.log l'historique date du 12 mai 2011, or je cherche une date antérieure. Si la personne a effacé l'historique ?
Avant sous Sherlock on pouvait rechercher "tous les fichiers modifiés" "aujourd'hui", ou à telle date, c'était super.
Il n'y pas d'équivalent ?

Merci à toi
Carole

 

[schwebb]

Hello,
Merci beaucoup. j'ai activé depuis longtemps FileVault et mot passe à ouverture de session, mais je n'avais pas activé le mot de passe après veille. Il se trouve que quand mon ordi a été visité, il était allumé...
Je suis allée voir dans Console activité système : dans système.log l'historique date du 12 mai 2011, or je cherche une date antérieure. Si la personne a effacé l'historique ?
Avant sous Sherlock on pouvait rechercher "tous les fichiers modifiés" "aujourd'hui", ou à telle date, c'était super.
Il n'y pas d'équivalent ?

Merci à toi
Carole

Je ne sais pas trop, je n'avais pas de Mac à l'époque de Sherlock.

Je crois que par défaut, l'historique de Console porte sur 6 jours; c'est du moins ce que je constate chez moi.

Il faudra que tu attendes l'avis de personnes plus calées que moi!

 

[thunderheart]

La commande find en console répondra peut-être à ta demande, exemple : trouver les fichiers modfiés depuis 3 jours

find / -mtime 3 -print

ps : je suis sur un Aix au moment où je t'écris mais je pense que sur le Mac ça doit fonctionner aussi

 

[bompi]

Plutôt que les modifications, il vaudrait mieux vérifier les accès :

find / -atime 3 -print

 

[carole_tatiana]

Merci beaucoup pour l'info, mais je ne trouve pas la commande "find" dans Console ??
Il y a bien un espace "filtre", j'ai beau chercher dans les menu, je ne trouve pas ?:siffle:

Ci-joint une copie d'écran de ma console. Merci !!!

Carole

 

[thunderheart]

Il faut ouvrir l'application Terminal pour exécuter les commandes.

 

[bompi]

Par ailleurs, il y a une méthode pour tracer les processus lancés mais elle ne te sera d'aucune utilité pour ce qui s'est (éventuellement) passé. Il faut l'activer avant que ne surviennent les actions douteuses.

 

[carole_tatiana]

Il faut ouvrir l'application Terminal pour exécuter les commandes.

Ah ok d'accord ! je pouvais toujours chercher la commande find :love:

Je vais essayer. Merci !!

---------- Nouveau message ajouté à 16h19 ---------- Le message précédent a été envoyé à 16h18 ----------

Par ailleurs, il y a une méthode pour tracer les processus lancés mais elle ne te sera d'aucune utilité pour ce qui s'est (éventuellement) passé. Il faut l'activer avant que ne surviennent les actions douteuses.

C'est à dire ? Ça m'intéresse, si ce n'est pas trop long pour toi à expliquer.

Dans tous les cas, Merci !!

 

[bompi]

Lorsqu'on active ces statistiques (avec la commande accton), on peut voir les commandes passées, avec lastcomm. Et aussi d'autres informations.

Ce n'est pas si évident à exploiter mais, au moins, ça peut aider à pister des actions et c'est gratuit et livré avec le système.

 

[carole_tatiana]

La commande find en console répondra peut-être à ta demande, exemple : trouver les fichiers modfiés depuis 3 jours

find / -mtime 3 -print

ps : je suis sur un Aix au moment où je t'écris mais je pense que sur le Mac ça doit fonctionner aussi

Merci encore. Je vous embête encore un peu les amis, juste besoin d'une petite aide au décryptage :

j'ai lancé la commandefind / -mtime 4 -print mais comment comprendre ?
Les dates sont absentes. Extrait du contenu :
find: /Users/profilpublic/.Trash: Permission denied
find: /Users/profilpublic/Desktop: Permission denied
find: /Users/profilpublic/Documents: Permission denied
find: /Users/profilpublic/Library: Permission denied
find: /Users/profilpublic/Movies: Permission denied
find: /Users/profilpublic/Music: Permission denied
find: /Users/profilpublic/Pictures: Permission denied
find: /Users/profilpublic/Public/Drop Box: Permission denied
find: /Users/Tatiana/.Spotlight-V100: Permission denied

Ma dernière question est : il y a t-il une commande pour vérifier 1 date précise ?

Merci à vous
Carole

---------- Nouveau message ajouté à 18h01 ---------- Le message précédent a été envoyé à 17h54 ----------

Lorsqu'on active ces statistiques (avec la commande accton), on peut voir les commandes passées, avec lastcomm. Et aussi d'autres informations.

Ce n'est pas si évident à exploiter mais, au moins, ça peut aider à pister des actions et c'est gratuit et livré avec le système.

Merci

J'ai lancé une nouvelle commande sous Terminal en mettant "lastcomm" puis "accton" : est-ce cela qu'il fallait faire ?
Résultat :

Last login: Fri May 13 16:32:19 on ttyp1
lastcomm; exit
Welcome to Darwin!
ordinateur-de-carole-tatiana:~ Tatiana$ lastcomm; exit
lastcomm: /var/account/acct: No such file or directory
logout
[Opération terminée]


Last login: Fri May 13 17:59:14 on ttyp2
Welcome to Darwin!
ordinateur-de-carole-tatiana:~ Tatiana$ accton; exit
accton: Operation not permitted
logout
[Opération terminée]

 

[thunderheart]

Pour le find, lances le en le préfixant par la commande sudo
sudo find / -mtime 4 -print

Cela permet de l'exécuter en tant que root, qui lui a tous les droits sur la machine.
Ton mot de passe sera demandé à l'exécution.

Pour avoir en sortie les résultats d'une date précise, je ne sais pas trop.
Dans le Terminal, man find te donnera l'aide de la commande find.

Edit : cette page traite du sujet

 

[bompi]

Pour activer l'enregistrement des actions, il faut utiliser accton.
Une fois ceci réalisé, lastcomm pourra renvoyer le résultat.

Plus spécifiquement :

sudo accton /var/account/acct

Pour activer la trace.

 

[carole_tatiana]

Pour le find, lances le en le préfixant par la commande sudo
sudo find / -mtime 4 -print

Cela permet de l'exécuter en tant que root, qui lui a tous les droits sur la machine.
Ton mot de passe sera demandé à l'exécution.

Pour avoir en sortie les résultats d'une date précise, je ne sais pas trop.
Dans le Terminal, man find te donnera l'aide de la commande find.

Edit : cette page traite du sujet

Merci ! Je note sucrupuleusement toutes ces infos pour m'en resservir plus tard. Je commence à découvrir la fonction de la console et du terminal ; suis en train de potasser tout ça à coté.

Mon pb est résolu, j'ai pu retrouver les activités de mon système via "Console" aux heures du jour qui m'intéressait.

Bonne journée ! merci !
Carole

---------- Nouveau message ajouté à 10h14 ---------- Le message précédent a été envoyé à 10h03 ----------

Pour activer l'enregistrement des actions, il faut utiliser accton.
Une fois ceci réalisé, lastcomm pourra renvoyer le résultat.

Plus spécifiquement :

sudo accton /var/account/acct

Pour activer la trace.

Avec Sudo : je ne peux pas taper le mot de passe ; le clavier ne répond pas dans la fenêtre

WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo. Type "man sudo" for more information.

To proceed, enter your password, or type Ctrl-C to abort.

Password:


-------------------------

 

[schwebb]

Avec Sudo : je ne peux pas taper le mot de passe ; le clavier ne répond pas dans la fenêtre

Dans le terminal, rien ne s'affiche quand tu tapes ton mot de passe, c'est normal.

Entre-le normalement, mais à l'aveugle, puis tape sur entrée.

 

[carole_tatiana]

Lorsqu'on active ces statistiques (avec la commande accton), on peut voir les commandes passées, avec lastcomm. Et aussi d'autres informations.

Ce n'est pas si évident à exploiter mais, au moins, ça peut aider à pister des actions et c'est gratuit et livré avec le système.

Bompi : Avec ou sans Sudo mon ordi ne veut pas lancer ces commandes : "operation non permitted". (Est-ce peut-être parce que j'ai le fire wall et File vault)

Avec Sudo, comme je le disais, je n'arrive pas à taper le mot de passe, l'écran est "n'est pas actif"

---------- Nouveau message ajouté à 10h32 ---------- Le message précédent a été envoyé à 10h30 ----------

Dans le terminal, rien ne s'affiche quand tu tapes ton mot de passe, c'est normal.

Entre-le normalement, mais à l'aveugle, puis tape sur entrée.

Ahhhh !:zen:

Résultat :

Password:
accton: /var/account/acct: No such file or directory
[L’opération a été arrêté - code d’arrêt 1]



sudo accton /var/account/acct; exit
ordinateur-de-carole-tatiana:~ Tatiana$ Password:
-bash: Password:: command not found
ordinateur-de-carole-tatiana:~ Tatiana$ accton: /var/account/acct: No such file or directory
-bash: accton:: command not found
ordinateur-de-carole-tatiana:~ Tatiana$ [/var/account/acct:opLration a t arrt - code /var/account/acct:arrDt 1]
-bash: [/var/account/acct:opLration: No such file or directory
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$ Password:
-bash: Password:: command not found
ordinateur-de-carole-tatiana:~ Tatiana$ accton: /var/account/acct: No such file or directory
-bash: accton:: command not found
ordinateur-de-carole-tatiana:~ Tatiana$ [/var/account/acct:opLration a t arrt - code /var/account/acct:arrDt 1]
-bash: [/var/account/acct:opLration: No such file or directory
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$
ordinateur-de-carole-tatiana:~ Tatiana$ sudo accton /var/account/acct; exit
accton: /var/account/acct: No such file or directory
logout
[Opération terminée]

Olalala, il y eu une rafale de petits sons, c'est normal docteur ?

 

[bompi]

Ça faisait longtemps que je ne m'y étais attelé et ce n'est pas parfaitement clair dans la documentation.
Il faut enchaîner les commandes suivantes :

sudo mkdir /var/account
sudo touch /var/account/acct
sudo accton /var/account/acct

Et là, c'est bon. À noter que normalement on devrait pouvoir indiquer un peu n'importe quel fichier mais en fait... non.

Après tu tapes une commande, par exemple :

ls

Puis, pour vérifier que ça marche bien :

lastcomm

 

[bompi]

Autre chose : le fichier qui tient le journal de toutes les commandes passées va grossir avec le temps. Rien de dément mais quelques MB par semaine je pense.

Éventuellement, tu pourras ajouter une ligne de configuration dans le gestionnaire des journaux pour en limiter la taille.

Enfin, une commande n'apparaît dans le fichier (donc avec lastcomm) qu'une fois terminée. Tant qu'elle n'est pas achevée, on la voit dans le moniteur d'activité (ou avec la commande ps dans le Terminal).

 

[carole_tatiana]

Autre chose : le fichier qui tient le journal de toutes les commandes passées va grossir avec le temps. Rien de dément mais quelques MB par semaine je pense.

Éventuellement, tu pourras ajouter une ligne de configuration dans le gestionnaire des journaux pour en limiter la taille.

Enfin, une commande n'apparaît dans le fichier (donc avec lastcomm) qu'une fois terminée. Tant qu'elle n'est pas achevée, on la voit dans le moniteur d'activité (ou avec la commande ps dans le Terminal).

Merci beaucoup. Merci à tous. Je t'ai fait potasser Bompi

Carole