EhBeh... la je suis fixé sur la sécurité sous 2k.
Une machine directement reliée au Net, sans firewall, ni rien.
rien qu'un pett password de caractère et des stratégie d audit, afin de voir qui voudrait rentré.
j'ai aussi mis un share.
Mais bon, y à plus qu'a avoir les log de mon ISP (de toute manière on est partenaire).Alors le petit malin qui est rentré devais quand même toucher un peu, mais bon il se l ai joué Lamerz    Si il était simplement passé faire un "coucou" histoire de voir ce qu il y a dans la machine je voudrais bien, mias non    Il m a (ou elle en fait je sais pas encore ) gentiment déposé Nimda.
 
je ne sais pas encore quelle position adoptée, mais bon.. qu'ojn rentre sur un poste prévu pour cet éffet je veux bien, mias qu'on y colle des virus, ça j aime moins...
 
Bon miantenant reste à trouver comment il est rentré et comment bouché cette brêche

je pense que tu t'ai simplement chopé Nimda regarde tes logs de ton serveur web "IIS'*" voila .... sinon cherche des info sur ce virus.

Salut Catalina  
 
Qu'est ce que tu as installé sur ton 2K ?  
 
Tu as IIS ?  
 
Nimda n'a pas forcement été déposé par qqun avec IIS, c'est le virus le plus courant...
D'ailleurs il est peu probable que qqun soit rentré juste pour laisser un vers, y'a aucun interet à cette manip

Security Patch Release pour windows 2000 + windows à toujours mettre à jour (windows update), c'est pourtant pas bien compliqué

Ben là je suis en train d éplucher les logs.
c'est juste un Win2k Advanced Server, éffectivement il y a des composant IIS dessus    mais aucun serveur Web, ni ftp.
Bon il est rentré sur la machine (audit pawa!!) dés 18h... avant il y eu plein de "logon faillure".
 
-->THX je suis d accord avec toi, mais bon, je me demande comment ce petit ver serait rentré étant donné que plus personne n avait accés à la machine, et qu elle ne surfe pas.
 
Bon j attends encore log du provider, qui 'éclaireront plus!

Sur les version serveur de win2k, IIS est pas actif par defaut (qu'il y est un site web de creer ou non) ? Je croyais...
Sinon, je pense que tres franchement c'est plus une histoire d'un gus qui a scanne la becanne et qui a balance nimda de l'exterieur. Je vois pas l'interet de se faire ch*** a hacker une machine pour y deposer un ver... Un troyen style BO je veux bien, mais un virus ça n'a pas grand interet.

IIS et Nimda c'est le grand amour  
 
Au taff j'ai un 2K avec IIS et juste un serveur SMTP... nous avons une sécurité vraiment balèse c'est même plus un firewall c'est la muraille de chine...  
 
La semaine dernière, je devais tester un antivirus pour une société, j'installe tranquillos je fais divers manips et paf tiens Nimda sur mon poste alors que je n'ai jamais ouvert de pièce jointe etc... etc... bref  
 
Vais voir mon admin Reseau, je lui dis merde j'ai pecho Nimda je vais pas infecter le reseau ?  
 
Sa réponse à été "bof pas grave de toutes façons tout ceux qui ont IIS doivent l'avoir en ce moment vu que c'est une passoire... Installes le patch 54343543254 (genre un chiffre avec tout pleins de 0) tu n'auras plus de risque."  
 
- Je le trouve ou ?  
 
- Aucune idée ?  
 
- Ah ok... Bon je l'ai pas installé vu que je reinstalle tout les trois jours mais il y a  un patch pour ca. tu devrais le trouver chez crosoft.

Bon je sais par oú il est rentré en tout cas:
l'as utilisé deux comptes:
le compte guest pour l accès internet IIS (  ebn vi, pas encore sécurisé tout cela )
Le compte user
 
ET peut-être un compte admin et le compte sytème
, en tout cas c est ce que j en déduit de mes "event viewer"
Je saurais éxactement comemnt cela s'est passé quand j aurais les log de l ISP ( il traine)
 
Je epnse à une intrusion, à moins que Nimda sache rentré tout seul  (ça je ne le sais pas..)
 
il faut aussi que je vérifie si le compte ghuest pour l IIS est activé par défaut, car moi, et ça c'est sûr, je  ne l ai pas activé!
 
Le Windows comporte tout ce que comporte une Advanced server lorsque l on y éffectue une installation par défaut.
Fait quoi Nimda  me rappelle plus de toute façon il a été désinfecté!

CATALINA a écrit a écrit : Bon je sais par oú il est rentré en tout cas: l'as utilisé deux comptes: le compte guest pour l accès internet IIS (  ebn vi, pas encore sécurisé tout cela ) Le compte user   ET peut-être un compte admin et le compte sytème , en tout cas c est ce que j en déduit de mes "event viewer" Je saurais éxactement comemnt cela s'est passé quand j aurais les log de l ISP ( il traine)   Je epnse à une intrusion, à moins que Nimda sache rentré tout seul  (ça je ne le sais pas..)   il faut aussi que je vérifie si le compte ghuest pour l IIS est activé par défaut, car moi, et ça c'est sûr, je  ne l ai pas activé!   Le Windows comporte tout ce que comporte une Advanced server lorsque l on y éffectue une installation par défaut. Fait quoi Nimda  me rappelle plus de toute façon il a été désinfecté!

C'etait ptet a toi de configurer ta becane correctement aussi... Et puis tout le monde le sais que IIS est bourré de faille. IIS est un serveur web!

Cette bécane elle est justement là pour ça
Bon je n'ai toujours pas ces Logs    Que je puisse déterminé si c'est quelqu'un qui est rentré, ou le virus qui à cette fonctionnalité d intègrée    
 
Mais à mon avis il est rentré avec les comptes guest et  anonymous.
 
ça fait un bon lab test!!!!

IIS est un serveur web et une merde made in Krosoft en plus !!    

Ben vi...mais ce poste sert simplement à "monitoré" le trafic réseau...
z'ont pas les logs pas sérieux ça...
 
En tout cas la sécu n était pas trop mauvaise car il n est pas allé trop loin