Comptes bloqués sur AD (WIN 2003) de manière aléatoire - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 27-03-2009 à 17:14:35
Virus conficker fait des choses comme ça entre autre, mais sur le compte admin seulement il me semble. Tentative de crack du PWD.
Il est a jour niveau OS et AV ce DC. Si virus l'attaque peut venir d'un poste distant qui fait des tentative de connexion distantes.
Marsh Posté le 27-03-2009 à 17:18:21
ypc a écrit : Virus conficker fait des choses comme ça entre autre, mais sur le compte admin seulement il me semble. Tentative de crack du PWD. |
Merci pour ta réponse,
Oui l'antivirus est bien à jour, j'ai analysé les logs et n'ai rien trouvé de particulier... les MAJ Windows aussi sont OK. J'ai pensé à un virus aussi, je viens de regarde "conficker" et comme tu l'as dis il ne cherche qu'à craquer le mot de passe admin
Marsh Posté le 27-03-2009 à 18:19:47
non conficker ne teste pas uniquement le compte admin.
Moi je regarderai cette piste en tout cas.
Marsh Posté le 27-03-2009 à 22:34:41
Je@nb a écrit : non conficker ne teste pas uniquement le compte admin. |
Ok je vais regarder ça de plus près. En effet il ne teste pas que le compte admin ! Faut que je trouve un moyen de le detecter sur le réseau,
En tout cas merci !
Marsh Posté le 28-03-2009 à 01:19:51
Un truc facile : un poste infecté par conficker ne peut plus acceder à tout une tripoté de site, par exemple microsoft.com.
IL faut isoler le ou les postes sources.
Une bonne solution serait de planifier un scan de tous les posts avec un AV.
Bon courrage.
Marsh Posté le 27-03-2009 à 17:07:52
Bonjour à vous,
Je rencontre un problème assez étrange, un grand nombre d'utilisateurs ont leur compte bloqués suite à une sèrie de mots de passe mal tapé, la "policy" sur le domaine est de les bloqués au bout de 5 erreures.
Les utilisateurs m'ont confirmés qu'ils ne s'étaient Jamais trompé 5 fois d'affilés, j'ai donc utilisé ALTools qui me permet de voir ce qui s'est passé sur ces différents compte. Pour TOUS sans exception j'ai trouvé qu'ils ont étaient bloqués lors d'une tentative de connexion sur un contrôleur de domaine qui se trouve dans un autre pays et dont certains utilisateurs ne connaissent même pas l'existence, pourtant je vois bien les 5 tentatives d'ouverture de session sur ce fameux DC. (mon compte a également été bloqués sur ce DC).
Une idée ?
Message édité par francois-pignon le 27-03-2009 à 17:19:34