Attaque sur le réseau...

Attaque sur le réseau... - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 20-01-2008 à 22:47:50    

Bonjour,
 
 
Suite à un évenement encore pas très bien déterminé voici ce qui c'est passé sur un réseau. Le réseau est composé d'un SBS 2003 R2 (controleur de domaine princiale, serveur DHCP et exchange 2003 ), 1 windows 2003 standard (avec couche citrix), 1 windows 2003 (AD serveur fichier), 1 windows 2003 R2 (serveur multimedia), 1 windows 2000 (serveur de sauvegarde)  et 1 windows NT4 (serveur de cataloguage).
 
 
Mardi vers 16:30 tous les utilisateurs sont plantés: plus d'accès aux mails et ne peuvent plus se logguer dans le domaine. N'étant pas là  quelqu'un redémarre le serveur SBS et au redémarrage  un message dit que le fichier hal.dll est manquant et demande de le réinstaller.
 
Mercerdi matin je prends connaissance du message affiché et je restaure le fichier en mode réparation du cd d'installation. Le serveur redémarre et la je me dis "bon ben doit y avoir un dd défectueux" donc je fais un checkdisk et la il ne trouve rien, donc je ne m'inquiete pas et je ne cherche pas plus loin. Je profite de l'occasion pour migrer un ou 2 serveurs sur kaspersky file serveur et la migration se passe sans souci.
 
Jeudi je reviens le matin et même scénario : serveur sbs tourne (pas d'écran bleu), mais les utilisateurs ne peuvent pas se logguer, le serveur n'est plus accessible. J'essaie dans windows d'acceder à l'observateur d'évenements, mais tous les raccourcis systems sont manquants, pas moyen d'avoir d'infos. Je me dis "il a eu un coupde chaud", je le redémarre et hop pareil hal.dll manquant.... rebelotte je redémarre et la c'est pire car le serveur avait plus de fichiers supprimés et  il perd toute sa config : est sorti de son domaine etc... Donc la je flipe un peu et je restore une sauvegarde (merci ACRONIS) au jour précedant. Pendant la restoration je me rends compte que le serveur citrix (windows 2003) ne répond pas non plus avec les mêmes symptômes : raccourci manquants etc... je redémarre et rebelotte fichier manquant... tout dabbord hal.dll ensuite ntoskrnl.exe... pour finir après restoration des fichiers il indique qu'il ne peut demarrer car des fichier du noyau sont manquants donc la aussi je remonte une sauvgarde à j-1. et pour finir on constate que le serveur de numérisation est planté avec les mêmes symptômes et là, pareil, la restaration de fichier ne suffit pas: il faut remonter une sauvegarde. Bref je suis sur le cul et je me jette sur le serveur 2003 qui fait l'AD et là, lui est accessible et je constate dans l'observateur d'évenement system que des alertes au niveau des modifications de fichier à été signalées donc je m'empresse de faire un sfc/scannow, je redémarre et tout à l'air normal.
Donc Jeudi je restore le serveur sbs et le serveur citrix à j-2 (mardi) et le serveur 2003 (AD / serveur fichier) juste une réparation sfc. Je pars, tout fonctionne ...
 
Vendredi : Il aurait pu être un vendredi 13
 
Prise de fonction avec les utilisateurs de nouveau plantée . Même constat sur les serveurs avec cette fois une variante :8 giga de données sont supprimés sur  le serveur AD / fichiers et des droits sur certains dossiers stratégiques sont modifieés (l'administrateur n'a plus la main pour remettre les droits)
La je rentre dans le monde merveilleux des X-files et je commence à flipper ma race mais je décide d'aller un peu plus loin.
Je remonte des images des serveurs au 14 janvier (vendredi) et je restore les fichiers utilisateurs de la veille. Au redémarrage du serveur controleur de domaine je modifie le mot de passe administrateur. Sur tous les serveurs et postes de travail (20) je vire l'ancien antivirus(bitdefender) et j'installe kaspersky. Dans la foulée je lance des scans sur tous les postes et serveurs. J'en profite pour changer également le mot de passe du routeur.Le scan n'a rien trouvé sur les serveurs et j'ai trouver 2 ou 3 chevaux de troie sur 2 postes.
 
Dans toute cette histoire le serveur de sauvegarde (serveur 2000) et serveur de cataloguage (nt4) n'ont rien eu.
 
Depuis vendredi soir tout fonctionne sans souci : les utilisateurs citrix peuvent bosser (je les vois se connecter) et aucune modification système n'a été faite. je croise les doigts mais je suis confiant mais avant de vous en dire plus j'aimerais avoir votre sentiment sur l'origine possible ou probable d'un tel phénomène. Toute vos hypothèses sont les bienvenues
 
merci à vous pour vos réponses.


Message édité par Le_Black le 21-01-2008 à 14:17:55
Reply

Marsh Posté le 20-01-2008 à 22:47:50   

Reply

Marsh Posté le 21-01-2008 à 01:34:54    

Virus, cheval de troie ou malveillance semblent les pistes les plus plosibles pour expliquer un symptome identique sur plusieurs serveurs.As tu un suivi des températures CPU (outil de supervision) sinon, ca pourait etre une surchauffe mais moins probable surtout qu'on est pas en été. Scan bien les deux serveurs qui n'ont pas étés touchés, ils pouraient servir de backdoor, surtout le serveur de sauvegarde, imagines les sauvegrades corrompues!
Effectues un ntbackup System State + fichiers systèmes et applicatifs + sauvegarde Exchange sur disque externe. On ne sait jamais.
Vérifies la clim.
Allumes un cierge et pries.

Reply

Marsh Posté le 21-01-2008 à 10:13:16    

Merci pour cette réponse pour ce qui est de la sauvegarde j'ai une sauvegarde du serveur de sauvegarde sur un NAS à l'autre bout du batiment en cas de défaillance...

Reply

Marsh Posté le 23-01-2008 à 17:36:47    

Mouais, quand tu dit que tu as trouvé des chevaux de trois sur 2 posts à ta place je me méfierais du comportement des utilisateurs sur les postes. En plus, tes logs disparaissent vraiment bizarre (tu aurait pus peut-être retracé les attaques...) et en plus plusieurs serveurs en même temps qui tombent en radent et élévation des droits comme par enchantement ... .
Un pirate ne laisse pas de trace derrière lui et efface les logs. (Peut-être parano mais bon...).
 
Comme on dit la plus grande menace ne vient pas souvent de l'extérieur mais plutôt de l'intérieur de l'entreprise.
Tu devrais enseigné aux utilisateurs de ces postes un comportement plus sécuritaire.
Clef USB ---> se méfier, les utilisateurs parfois amènent leurs propre virus sans le savoir voir même "peut-être" intentionnellement pour nuire... .
 
Et même si il y a possibilité de supprimé le port USB sur les postes utilisateurs. Ce serait le top :)
Est-ce que les utilisateurs vont sur Internet ? Si c'est le cas, un filtrage sur les sites seraient le bienvenue uniquement concernant le travail et pas de site xxx.cul.com avec plein de virus et exploitations failles IE.
Il peut-être aussi importer par mail,...
Etc.
 
Je te proposerais néanmoins d'installer un IDS (Intrusion détection System) en plus sur ton réseau comme Snort par exemple qui est gratuit.
Voir même peut-être ajouté un IPS (Systèmes de prévention d'intrusion)  
 
Désolé, de mon langage un peu cru ;)
Ça reste que mon avis.


Message édité par mmc le 23-01-2008 à 18:36:21
Reply

Marsh Posté le 23-01-2008 à 18:25:35    

1. Moi je ne trouve pas normal qu'un quelconque fichier .dll (et identique) soit manquant au démarrage de 2 serveurs.
 
2. Authentification des utilisateurs au domaine --> courant quand on redémarre un serveur SBS. Faut un attendre un peu une quelconque propagation de l'AD sur les postes/Serveurs.
 
 


---------------
Toi tu me prends vraiment pour un con ou bien tu te fous de ma gueule ?
Reply

Marsh Posté le 23-01-2008 à 19:11:48    

Bonjour et merci pour vos réponses...  
Pour completer le récit voici un élément clef (à mon avis) mais je voulais rester le plus objectif dans l'analyse de la faille :
Le mardi ou les soucis ont fait leurs apparitions, le directeur du site a annoncé au prestatire de service qu'il n'aurait plus la maintenance du réseau. Il lui a annoncé qu'il n'aurait que la maintenance pour la partie développement logiciel. Je boossait depuis 2 ans dans l'entreprise en tant qu'administrateur system. On m'a embaucher pour pallier au manque de réactivité de cette boite informatique. Depuis 1 an j'ai racheter une boite informatique et à la fin du mois on va récupérer la contrat de maintenance de mon futur ex eployeur (je quite à la fin du mois).  
 
Troublant vous ne trouvez pas...?

Reply

Marsh Posté le 23-01-2008 à 19:40:07    

cherche pas, recense tous les accès distants qu'il peut avoir et squizze les. Verifie tes log de FW egalement.


Message édité par Quich'Man le 23-01-2008 à 19:41:42
Reply

Marsh Posté le 23-01-2008 à 20:17:01    

Le nom, le nom ! Au pilori.

Reply

Marsh Posté le 23-01-2008 à 21:19:07    

Néanmoins, ils leur restent la maintenance développement logiciels, je vois pas pourquoi ce serait cette boite, enfin tout est possible... .
 
On ne peut que faire des suppositions mais pas aller plus loin sans preuve à l'appui. ;)


Message édité par mmc le 23-01-2008 à 22:18:35
Reply

Marsh Posté le 23-01-2008 à 21:27:34    

Sans preuve à l'appui il est effectivement mal venu de juger.  
Une supposition reste une suppositiion.
 
Il "suffit" bien sûr de vérifier les logs de sécurité et d'y voir qui a eu accès (logon) les dernières heures avant cet incident.
 
Coïncidant oui, mais incompétent aussi. Si l'équipe IT qui doit assurer le service était encore sous contrat, c'était à elle de remédier au souci.
Si il ne leur reste que le dev, alors soit. C'est mieux que rien à l'heure où les entreprises débauchent et virent à tour de rôle d'organisations "sociales".
 
Suis cette piste ainsi que celle des collègues ci-dessus.
Si tu en parles aussi facilement, c'est sûrement aussi parce que tu as déja un petit "avis" sur la question ;-)


---------------
Toi tu me prends vraiment pour un con ou bien tu te fous de ma gueule ?
Reply

Marsh Posté le 23-01-2008 à 21:27:34   

Reply

Marsh Posté le 28-01-2008 à 23:04:49    

Ok bon si c'est un presta ^^
mais en cas de réelle attaque il ne faut pas supprimer le ou les backdoor immédiatement(oui et non suivant la situation ont est d'accord) mais plutot les isolé via une gw transparent sur laquelle on a la main afin de pouvoir analyser et voir ce qui est fais et également d'avoir une preuve de connection en cas de plainte.
 
Concernant ton prob comme cela a été dis meme si le mec a surment pris soin de flush les logs,mais  il a surement oublier des logs (fw comme dis plus haut)  
+


---------------
Puffy with PF is beautifull great system ^^, i love :-
Reply

Marsh Posté le 14-05-2008 à 18:27:55    

Comme certains de nos clients, je vous conseille de tester un IPS Tippignpoint, celui ci vous remontera les événement sur le réseau et surtout les actions illicites ou illégitimes... de plus il vous permettra de savoir si vous ne subissez pas de vol d'informations ou d'aspiration de donnée sur le réseaux...  
 
en plus cela n'engage a rien et peut vous permettre de mettre le doigt sur des éléments assez "étranges" parfois :)
 
a+

Reply

Marsh Posté le 17-05-2008 à 00:20:40    

Trop voyant pour que ce soit le prestataire.  
Hal.dll contient la librairie pour les chargements de device au boot et fonctionne avec le boot.ini. Ca ressemble plus à une attaque type virus ou trojan.

Reply

Marsh Posté le 17-05-2008 à 10:27:18    

sortir un topic des profondeurs pour faire de la pub, je vois pas l'interet ...

Reply

Marsh Posté le 17-05-2008 à 20:25:44    

Ah oui tiens, je prete pas assez attention au date. Suffit de le fermer dans ce cas...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed