Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
5009 connectés 

  FORUM HardWare.fr
  Windows & Software

  [NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??

 
 


Dernière réponse
Sujet : [NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??
Pims Bon, je me lance dans SNORT !!!
 
Mais c'est pas évident evident ...
Surtout sous win2k :??:
 
Premierement il a fallu que je récupère deux DLL que je n'avais pas ... ensuite il me tape une erreur bizarre à chaque fois:
 

Code :
  1. D:\Snort>snort -W
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  10. Interface       Device          Description
  11. -------------------------------------------
  12. 1  \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} (Unknown)
  13. 2 \Device\Packet_NdisWanIp (Unknown)


-----------------------------------

Code :
  1. D:\Snort>snort -i 1
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------

Code :
  1. D:\Snort>snort -i 2
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_NdisWanIp open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------
 
 
Mais que ce passe t il ?
 
Ci joint: l'aide:
 

Code :
  1. D:\Snort>snort -?
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  9. USAGE: snort [-options] <filter options>
  10.        snort /SERVICE /INSTALL [-options] <filter options>
  11.        snort /SERVICE /UNINSTALL
  12.        snort /SERVICE /SHOW
  13. Options:
  14.         -A         Set alert mode: fast, full, console, or none  (alert file alerts only)*
  15.                   "unsock" enables UNIX socket logging (experimental).
  16.         -a         Display ARP packets
  17.         -b         Log packets in tcpdump format (much faster!)
  18.         -c <rules> Use Rules File <rules>
  19.         -C         Print out payloads with character data only (no hex)
  20.         -d         Dump the Application Layer
  21.         -D         Run Snort in background (daemon) mode
  22.         -e         Display the second layer header info
  23.         -E         Log alert messages to NT Eventlog. (Win32 only)
  24.         -f         Turn off fflush() calls after binary log writes
  25.         -F <bpf>   Read BPF filters from file <bpf>
  26.         -g <gname> Run snort gid as <gname> group (or gid) after initialization*
  27.         -G <mode>  Add reference ids back into alert msgs (modes: basic, url)
  28.         -h <hn>    Home network = <hn>
  29.         -i <if>    Listen on interface <if>
  30.         -I         Add Interface name to alert output
  31.         -l <ld>    Log to directory <ld>
  32.         -m <umask> Set umask = <umask>
  33.         -n <cnt>   Exit after receiving <cnt> packets
  34.         -N         Turn off logging (alerts still work)
  35.         -o         Change the rule testing order to Pass|Alert|Log
  36.         -O         Obfuscate the logged IP addresses
  37.         -p         Disable promiscuous mode sniffing
  38.         -P <snap>  set explicit snaplen of packet (default: 1514)
  39.         -q         Quiet. Don't show banner and status report
  40.         -r <tf>    Read and process tcpdump file <tf>
  41.         -R <id>    Include 'id' in snort_intf<id>.pid file name
  42.         -s <server:port> Log alert messages to syslog server (default port: 514)        -S <n=v>   Set rules file variable n equal to value
  43. v
  44.         -t <dir>   Chroots process to <dir> after initialization
  45.         -T         Test and report on the current Snort configuration
  46.         -u <uname> Run snort uid as <uname> user (or uid) after initialization*
  47.         -U         Use UTC for timestamps
  48.         -v         Be verbose
  49.         -V         Show version number
  50.         -W         Lists available interfaces. (Win32 only)
  51.         -w         Dump 802.11 management and control frames
  52.         -X         Dump the raw packet data starting at the link layer
  53.         -y         Include year in timestamp in the alert and log files
  54.         -z         Set assurance mode, match on established sesions (for TCP)
  55.         -?         Show this information
  56. <Filter Options> are standard BPF options, as seen in TCPDump
  58. * denotes an option that is NOT SUPPORTED in this WIN32 port of snort.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Pims Bon, je me lance dans SNORT !!!
 
Mais c'est pas évident evident ...
Surtout sous win2k :??:
 
Premierement il a fallu que je récupère deux DLL que je n'avais pas ... ensuite il me tape une erreur bizarre à chaque fois:
 

Code :
  1. D:\Snort>snort -W
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  10. Interface       Device          Description
  11. -------------------------------------------
  12. 1  \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} (Unknown)
  13. 2 \Device\Packet_NdisWanIp (Unknown)


-----------------------------------

Code :
  1. D:\Snort>snort -i 1
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------

Code :
  1. D:\Snort>snort -i 2
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_NdisWanIp open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------
 
 
Mais que ce passe t il ?
 
Ci joint: l'aide:
 

Code :
  1. D:\Snort>snort -?
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  9. USAGE: snort [-options] <filter options>
  10.        snort /SERVICE /INSTALL [-options] <filter options>
  11.        snort /SERVICE /UNINSTALL
  12.        snort /SERVICE /SHOW
  13. Options:
  14.         -A         Set alert mode: fast, full, console, or none  (alert file alerts only)*
  15.                   "unsock" enables UNIX socket logging (experimental).
  16.         -a         Display ARP packets
  17.         -b         Log packets in tcpdump format (much faster!)
  18.         -c <rules> Use Rules File <rules>
  19.         -C         Print out payloads with character data only (no hex)
  20.         -d         Dump the Application Layer
  21.         -D         Run Snort in background (daemon) mode
  22.         -e         Display the second layer header info
  23.         -E         Log alert messages to NT Eventlog. (Win32 only)
  24.         -f         Turn off fflush() calls after binary log writes
  25.         -F <bpf>   Read BPF filters from file <bpf>
  26.         -g <gname> Run snort gid as <gname> group (or gid) after initialization*
  27.         -G <mode>  Add reference ids back into alert msgs (modes: basic, url)
  28.         -h <hn>    Home network = <hn>
  29.         -i <if>    Listen on interface <if>
  30.         -I         Add Interface name to alert output
  31.         -l <ld>    Log to directory <ld>
  32.         -m <umask> Set umask = <umask>
  33.         -n <cnt>   Exit after receiving <cnt> packets
  34.         -N         Turn off logging (alerts still work)
  35.         -o         Change the rule testing order to Pass|Alert|Log
  36.         -O         Obfuscate the logged IP addresses
  37.         -p         Disable promiscuous mode sniffing
  38.         -P <snap>  set explicit snaplen of packet (default: 1514)
  39.         -q         Quiet. Don't show banner and status report
  40.         -r <tf>    Read and process tcpdump file <tf>
  41.         -R <id>    Include 'id' in snort_intf<id>.pid file name
  42.         -s <server:port> Log alert messages to syslog server (default port: 514)        -S <n=v>   Set rules file variable n equal to value
  43. v
  44.         -t <dir>   Chroots process to <dir> after initialization
  45.         -T         Test and report on the current Snort configuration
  46.         -u <uname> Run snort uid as <uname> user (or uid) after initialization*
  47.         -U         Use UTC for timestamps
  48.         -v         Be verbose
  49.         -V         Show version number
  50.         -W         Lists available interfaces. (Win32 only)
  51.         -w         Dump 802.11 management and control frames
  52.         -X         Dump the raw packet data starting at the link layer
  53.         -y         Include year in timestamp in the alert and log files
  54.         -z         Set assurance mode, match on established sesions (for TCP)
  55.         -?         Show this information
  56. <Filter Options> are standard BPF options, as seen in TCPDump
  58. * denotes an option that is NOT SUPPORTED in this WIN32 port of snort.
Pims

Requin a écrit a écrit :

logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win.




 
Je vais REFAIRE LE TOUR :)
Requin logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win.
Pims

Requin a écrit a écrit :

Une tâche planifiée ou le mot de passe n'aurait pas été changé ?




 
Bien joué ... mais j'y ai deja pensé .... :/
Requin Une tâche planifiée ou le mot de passe n'aurait pas été changé ?
Pims Voila le genre de message que j'ai ....
 

Code :
  1. 18/10/02 07:10:17 16 2 529 Security AUTORITE NT\SYSTEM  MAS1 marc g MAS1 2   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 MAS1
  4. 18/10/02 07:19:14 16 2 529 Security AUTORITE NT\SYSTEM  MAS1 marc g MAS1 2   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 MAS1


 
Il semblerait que les tentatives de connexions VIENNENT du serveur MAS1 lui meme :??: je n'y comprend plus rien ...
Requin

Pims a écrit a écrit :

 
 
La replication se charge de ca !!




 
Pas dans un domaine mixte 2000 / NT :(
Pims

JPA a écrit a écrit :

Sauf quand t'oublie de mettre les scripts à jour sur les BDC...




 
La replication se charge de ca !!
Requin

JPA a écrit a écrit :

Sauf quand t'oublie de mettre les scripts à jour sur les BDC...




 
Ouaip, chose à scripter absolument... ou très appréciable sous 2K :)
JPA Sauf quand t'oublie de mettre les scripts à jour sur les BDC...
Requin

Pims a écrit a écrit :

 
 
Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus :D :)




 
J'ai un réseau avec à peu prêt la même chose... je vois pas en quoi avoir plusieurs BDC peut nuire.

JPA Tu fais bien ta synchronisation des serveurs après avoir dévérouillé son compte ?
Pims

Requin a écrit a écrit :

 
- Méthode crado : installation sur le serveur même  :p  




 
Elle me plait quand meme bien celle la :D ........
Pims

Pims a écrit a écrit :

 
 
Par contre j'ai 1 PDC + 3 BDC ...
 
Je me demande d'ailleurs si c'est bien utile :sarcastic: sachant qu'il y a environ 150 clients ....
 




 
Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus :D :)
Requin Clair ;)
Pims

Requin a écrit a écrit :

Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer :)




 
Cool !! ca je connaissais pas :) :)
 
Par contre j'ai 1 PDC + 3 BDC ...
 
Je me demande d'ailleurs si c'est bien utile :sarcastic: sachant qu'il y a environ 150 clients ....
 
Je vais voir !
 
requin: Sinon un refux de connexion sur une machine non authorisé n'est pas equivalent à une erreur de passwd
 
Avouez que c'est bizarre :??: :??:
Requin Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer :)
Guru Si tu mets le sniffer sur le même port que le contrôleur de domaine ca devrait aller...
Requin

Pims a écrit a écrit :

 
Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE .....
 
Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté :)




 
Est-ce que si tu essaie de te loguer depuis une autre machine il ne considère pas comme un échec ? (j'en sais rien, hein !)
 
Pour le sniffeur la méthode consiste à le placer au bon endroit :
- Méthode crado : installation sur le serveur même  :p  
- Méthode clean : HUB entre le serveur et ton switch te permettant d'espionner le traffic entrant / sortant du serveur.
Pims

Requin a écrit a écrit :

Les pistes d'investigation :
1) Qqn qui sait que au bout de 3 essais ca bloque le compte
2) Qqn qui veut te faire chier (ou faire chier ton collègue)
3) Ton collègue qui ne sais pas taper sur un clavier ;)
 
Ce que tu peux faire :
1) placer un audit succès / échec de login (pour avoir les événements dans le journal)
2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte)
3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins




 
1) tout le monde sait que au bout de 3 tentatives le compte est verrouillé (ya assez de monde qui m'appelle pour ca)
 
Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE .....
 
Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté :)
 
Requin Les pistes d'investigation :
1) Qqn qui sait que au bout de 3 essais ca bloque le compte
2) Qqn qui veut te faire chier (ou faire chier ton collègue)
3) Ton collègue qui ne sais pas taper sur un clavier ;)
 
Ce que tu peux faire :
1) placer un audit succès / échec de login (pour avoir les événements dans le journal)
2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte)
3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins, ainsi tu pourras trouver la source.
Pims Hello :hello:
 
Voila mon soucis: le compte NT de mon collegue est quasiment systematiquement verouillé chaque matin ...  
 
Mon serveur est configuré de telle sorte que après 3 tentatives infructueuses le comptes est verrouillé !!
 
MAIS VOILA, AUCUNE TENTATIVE DE CONNEXION NE SONT VISIBLE DANS LES JOURNAUX D'EVENEMENTS !
 
Seul les tentatives d'acces avec un compte DEJA verrouillé (erreur 539)
 
-Ce collegue a changé de PC recemment ... tjrs pareil.
-J'ai autorisé ce LOGIN UNIQUEMENT sur sa station ... tjrs pareil.
 
C'est quoi ce delire :??:
 
:jap:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)