[NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??
Verouillage d'un compte inexpliqué !! Aide sur SNORT?? [NT4] - Windows & Software
Marsh Posté le 17-10-2002 à 11:08:01
Les pistes d'investigation :
1) Qqn qui sait que au bout de 3 essais ca bloque le compte
2) Qqn qui veut te faire chier (ou faire chier ton collègue)
3) Ton collègue qui ne sais pas taper sur un clavier 
Ce que tu peux faire :
1) placer un audit succès / échec de login (pour avoir les événements dans le journal)
2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte)
3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins, ainsi tu pourras trouver la source.
Message édité par Requin le 17-10-2002 à 11:12:40
Marsh Posté le 17-10-2002 à 11:12:05
| Requin a écrit a écrit : Les pistes d'investigation : 1) Qqn qui sait que au bout de 3 essais ca bloque le compte 2) Qqn qui veut te faire chier (ou faire chier ton collègue) 3) Ton collègue qui ne sais pas taper sur un clavier Ce que tu peux faire : 1) placer un audit succès / échec de login (pour avoir les événements dans le journal) 2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte) 3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins |
1) tout le monde sait que au bout de 3 tentatives le compte est verrouillé (ya assez de monde qui m'appelle pour ca)
Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE .....
Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté 
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 17-10-2002 à 11:16:09
| Pims a écrit a écrit : Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE ..... Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté |
Est-ce que si tu essaie de te loguer depuis une autre machine il ne considère pas comme un échec ? (j'en sais rien, hein !)
Pour le sniffeur la méthode consiste à le placer au bon endroit :
- Méthode crado : installation sur le serveur même 
- Méthode clean : HUB entre le serveur et ton switch te permettant d'espionner le traffic entrant / sortant du serveur.
Message édité par Requin le 17-10-2002 à 11:18:13
Marsh Posté le 17-10-2002 à 11:16:23
Si tu mets le sniffer sur le même port que le contrôleur de domaine ca devrait aller...
Marsh Posté le 17-10-2002 à 11:17:41
Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer
Message édité par Requin le 17-10-2002 à 11:17:50
Marsh Posté le 17-10-2002 à 11:22:42
| Requin a écrit a écrit : Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer |
Cool !! ca je connaissais pas
Par contre j'ai 1 PDC + 3 BDC ...
Je me demande d'ailleurs si c'est bien utile 
sachant qu'il y a environ 150 clients ....
Je vais voir !
requin: Sinon un refux de connexion sur une machine non authorisé n'est pas equivalent à une erreur de passwd
Avouez que c'est bizarre 
Message édité par Pims le 17-10-2002 à 11:23:29
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 17-10-2002 à 11:31:28
| Pims a écrit a écrit : Par contre j'ai 1 PDC + 3 BDC ... Je me demande d'ailleurs si c'est bien utile sachant qu'il y a environ 150 clients .... |
Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus 
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 17-10-2002 à 11:33:34
| Requin a écrit a écrit : - Méthode crado : installation sur le serveur même |
Elle me plait quand meme bien celle la ........
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 17-10-2002 à 13:48:59
Tu fais bien ta synchronisation des serveurs après avoir dévérouillé son compte ?
Marsh Posté le 17-10-2002 à 13:49:05
| Pims a écrit a écrit : Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus |
J'ai un réseau avec à peu prêt la même chose... je vois pas en quoi avoir plusieurs BDC peut nuire.
Marsh Posté le 17-10-2002 à 13:54:43
Sauf quand t'oublie de mettre les scripts à jour sur les BDC...
Marsh Posté le 17-10-2002 à 14:01:08
| JPA a écrit a écrit : Sauf quand t'oublie de mettre les scripts à jour sur les BDC... |
Ouaip, chose à scripter absolument... ou très appréciable sous 2K
Marsh Posté le 17-10-2002 à 14:02:24
| JPA a écrit a écrit : Sauf quand t'oublie de mettre les scripts à jour sur les BDC... |
La replication se charge de ca !!
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 17-10-2002 à 14:08:30
| Pims a écrit a écrit : La replication se charge de ca !! |
Pas dans un domaine mixte 2000 / NT 
Marsh Posté le 18-10-2002 à 09:06:00
Voila le genre de message que j'ai ....
Code :
|
Il semblerait que les tentatives de connexions VIENNENT du serveur MAS1 lui meme je n'y comprend plus rien ...
Message édité par Pims le 18-10-2002 à 09:07:12
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 18-10-2002 à 09:21:08
Une tâche planifiée ou le mot de passe n'aurait pas été changé ?
Marsh Posté le 18-10-2002 à 09:41:10
| Requin a écrit a écrit : Une tâche planifiée ou le mot de passe n'aurait pas été changé ? |
Bien joué ... mais j'y ai deja pensé .... 
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 18-10-2002 à 09:42:51
logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win.
Marsh Posté le 18-10-2002 à 09:44:25
| Requin a écrit a écrit : logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win. |
Je vais REFAIRE LE TOUR
---------------
Life is like a box of chocolate you never know what you gonna get.
Marsh Posté le 22-11-2002 à 12:12:22
Bon, je me lance dans SNORT !!!
Mais c'est pas évident evident ...
Surtout sous win2k
Premierement il a fallu que je récupère deux DLL que je n'avais pas ... ensuite il me tape une erreur bizarre à chaque fois:
Code :
|
-----------------------------------
Code :
|
-----------------------------------
Code :
|
-----------------------------------
Mais que ce passe t il ?
Ci joint: l'aide:
Code :
|
---------------
Life is like a box of chocolate you never know what you gonna get.
Sujets relatifs:
- Je dois m'occuper d'un futur réseau, aide
- a l'aide help help help svp svp svp(sans fil)
- Cherche compte ftp pour sauvegarde
- [aol illimite / tiscalli] Posible plusoieurs sur un compte ?
- accélérer windows2000 au demarrage à l aide svp !!!!!
- SP4 et NT4 ????
- aide pour graver des dvd
- création de compte à la louche avec addusers sur w2k serveur
- COMPTE ADMINISTRATEUR ?
- Démarrer un ordinateur à l'aide de raccourcis clavier
Marsh Posté le 17-10-2002 à 10:45:24
Hello
Voila mon soucis: le compte NT de mon collegue est quasiment systematiquement verouillé chaque matin ...
Mon serveur est configuré de telle sorte que après 3 tentatives infructueuses le comptes est verrouillé !!
MAIS VOILA, AUCUNE TENTATIVE DE CONNEXION NE SONT VISIBLE DANS LES JOURNAUX D'EVENEMENTS !
Seul les tentatives d'acces avec un compte DEJA verrouillé (erreur 539)
-Ce collegue a changé de PC recemment ... tjrs pareil.
-J'ai autorisé ce LOGIN UNIQUEMENT sur sa station ... tjrs pareil.
C'est quoi ce delire
Message édité par Pims le 22-11-2002 à 12:17:23
---------------
Life is like a box of chocolate you never know what you gonna get.