Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3627 connectés 

  FORUM HardWare.fr
  Windows & Software

  [NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??

n°900367
Pims
Posté le 17-10-2002 à 10:45:24  profilanswer
 

Hello :hello:
 
Voila mon soucis: le compte NT de mon collegue est quasiment systematiquement verouillé chaque matin ...  
 
Mon serveur est configuré de telle sorte que après 3 tentatives infructueuses le comptes est verrouillé !!
 
MAIS VOILA, AUCUNE TENTATIVE DE CONNEXION NE SONT VISIBLE DANS LES JOURNAUX D'EVENEMENTS !
 
Seul les tentatives d'acces avec un compte DEJA verrouillé (erreur 539)
 
-Ce collegue a changé de PC recemment ... tjrs pareil.
-J'ai autorisé ce LOGIN UNIQUEMENT sur sa station ... tjrs pareil.
 
C'est quoi ce delire :??:
 
:jap:


Message édité par Pims le 22-11-2002 à 12:17:23

---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 17-10-2002 à 10:45:24  profilanswer
 

n°900407
Requin
Posté le 17-10-2002 à 11:08:01  profilanswer
 

Les pistes d'investigation :
1) Qqn qui sait que au bout de 3 essais ca bloque le compte
2) Qqn qui veut te faire chier (ou faire chier ton collègue)
3) Ton collègue qui ne sais pas taper sur un clavier ;)
 
Ce que tu peux faire :
1) placer un audit succès / échec de login (pour avoir les événements dans le journal)
2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte)
3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins, ainsi tu pourras trouver la source.


Message édité par Requin le 17-10-2002 à 11:12:40
n°900411
Pims
Posté le 17-10-2002 à 11:12:05  profilanswer
 

Requin a écrit a écrit :

Les pistes d'investigation :
1) Qqn qui sait que au bout de 3 essais ca bloque le compte
2) Qqn qui veut te faire chier (ou faire chier ton collègue)
3) Ton collègue qui ne sais pas taper sur un clavier ;)
 
Ce que tu peux faire :
1) placer un audit succès / échec de login (pour avoir les événements dans le journal)
2) renommer le compte de ton collègue (en communiquant uniquement à ton collègue son nom de compte)
3) placer un sniffeur de paquets (snort peu faire l'affaire) et filtrer pour obtenir que les logins




 
1) tout le monde sait que au bout de 3 tentatives le compte est verrouillé (ya assez de monde qui m'appelle pour ca)
 
Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE .....
 
Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté :)
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°900416
Requin
Posté le 17-10-2002 à 11:16:09  profilanswer
 

Pims a écrit a écrit :

 
Ce que je ne comprends pas, c'est le fait que j'ai authoriser CE COMPTE UNIQUEMENT SUR SA MACHINE .....
 
Sinon pour le sniffeur ca va pas etre top vu que mon reseau est en grand partie commuté :)




 
Est-ce que si tu essaie de te loguer depuis une autre machine il ne considère pas comme un échec ? (j'en sais rien, hein !)
 
Pour le sniffeur la méthode consiste à le placer au bon endroit :
- Méthode crado : installation sur le serveur même  :p  
- Méthode clean : HUB entre le serveur et ton switch te permettant d'espionner le traffic entrant / sortant du serveur.


Message édité par Requin le 17-10-2002 à 11:18:13
n°900417
Guru
Posté le 17-10-2002 à 11:16:23  profilanswer
 

Si tu mets le sniffer sur le même port que le contrôleur de domaine ca devrait aller...

n°900418
Requin
Posté le 17-10-2002 à 11:17:41  profilanswer
 

Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer :)


Message édité par Requin le 17-10-2002 à 11:17:50
n°900420
Pims
Posté le 17-10-2002 à 11:22:42  profilanswer
 

Requin a écrit a écrit :

Ah j'oublais que certains switchs administrables permettent de miroiter un port histoire de pouvoir sniffer :)




 
Cool !! ca je connaissais pas :) :)
 
Par contre j'ai 1 PDC + 3 BDC ...
 
Je me demande d'ailleurs si c'est bien utile :sarcastic: sachant qu'il y a environ 150 clients ....
 
Je vais voir !
 
requin: Sinon un refux de connexion sur une machine non authorisé n'est pas equivalent à une erreur de passwd
 
Avouez que c'est bizarre :??: :??:


Message édité par Pims le 17-10-2002 à 11:23:29

---------------
Life is like a box of chocolate you never know what you gonna get.
n°900422
Requin
Posté le 17-10-2002 à 11:24:45  profilanswer
 

Clair ;)

n°900431
Pims
Posté le 17-10-2002 à 11:31:28  profilanswer
 

Pims a écrit a écrit :

 
 
Par contre j'ai 1 PDC + 3 BDC ...
 
Je me demande d'ailleurs si c'est bien utile :sarcastic: sachant qu'il y a environ 150 clients ....
 




 
Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus :D :)


---------------
Life is like a box of chocolate you never know what you gonna get.
n°900435
Pims
Posté le 17-10-2002 à 11:33:34  profilanswer
 

Requin a écrit a écrit :

 
- Méthode crado : installation sur le serveur même  :p  




 
Elle me plait quand meme bien celle la :D ........


---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 17-10-2002 à 11:33:34  profilanswer
 

n°900726
JPA
Posté le 17-10-2002 à 13:48:59  profilanswer
 

Tu fais bien ta synchronisation des serveurs après avoir dévérouillé son compte ?

n°900727
Requin
Posté le 17-10-2002 à 13:49:05  profilanswer
 

Pims a écrit a écrit :

 
 
Pendant que j'ai ce concentré de technologie à porté de clavier (Guru et Requin) je vous demande votre avis la dessus :D :)




 
J'ai un réseau avec à peu prêt la même chose... je vois pas en quoi avoir plusieurs BDC peut nuire.

n°900743
JPA
Posté le 17-10-2002 à 13:54:43  profilanswer
 

Sauf quand t'oublie de mettre les scripts à jour sur les BDC...

n°900758
Requin
Posté le 17-10-2002 à 14:01:08  profilanswer
 

JPA a écrit a écrit :

Sauf quand t'oublie de mettre les scripts à jour sur les BDC...




 
Ouaip, chose à scripter absolument... ou très appréciable sous 2K :)

n°900761
Pims
Posté le 17-10-2002 à 14:02:24  profilanswer
 

JPA a écrit a écrit :

Sauf quand t'oublie de mettre les scripts à jour sur les BDC...




 
La replication se charge de ca !!


---------------
Life is like a box of chocolate you never know what you gonna get.
n°900778
Requin
Posté le 17-10-2002 à 14:08:30  profilanswer
 

Pims a écrit a écrit :

 
 
La replication se charge de ca !!




 
Pas dans un domaine mixte 2000 / NT :(

n°902161
Pims
Posté le 18-10-2002 à 09:06:00  profilanswer
 

Voila le genre de message que j'ai ....
 

Code :
  1. 18/10/02 07:10:17 16 2 529 Security AUTORITE NT\SYSTEM  MAS1 marc g MAS1 2   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 MAS1
  4. 18/10/02 07:19:14 16 2 529 Security AUTORITE NT\SYSTEM  MAS1 marc g MAS1 2   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 MAS1


 
Il semblerait que les tentatives de connexions VIENNENT du serveur MAS1 lui meme :??: je n'y comprend plus rien ...


Message édité par Pims le 18-10-2002 à 09:07:12

---------------
Life is like a box of chocolate you never know what you gonna get.
n°902167
Requin
Posté le 18-10-2002 à 09:21:08  profilanswer
 

Une tâche planifiée ou le mot de passe n'aurait pas été changé ?

n°902182
Pims
Posté le 18-10-2002 à 09:41:10  profilanswer
 

Requin a écrit a écrit :

Une tâche planifiée ou le mot de passe n'aurait pas été changé ?




 
Bien joué ... mais j'y ai deja pensé .... :/


---------------
Life is like a box of chocolate you never know what you gonna get.
n°902184
Requin
Posté le 18-10-2002 à 09:42:51  profilanswer
 

logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win.

n°902187
Pims
Posté le 18-10-2002 à 09:44:25  profilanswer
 

Requin a écrit a écrit :

logiciel de backup ? serveur web ? base de données ? ... je ne sais pas ce qui tourne sur ta machine et pourrait utiliser l'authentification win.




 
Je vais REFAIRE LE TOUR :)


---------------
Life is like a box of chocolate you never know what you gonna get.
n°956834
Pims
Posté le 22-11-2002 à 12:12:22  profilanswer
 

Bon, je me lance dans SNORT !!!
 
Mais c'est pas évident evident ...
Surtout sous win2k :??:
 
Premierement il a fallu que je récupère deux DLL que je n'avais pas ... ensuite il me tape une erreur bizarre à chaque fois:
 

Code :
  1. D:\Snort>snort -W
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  10. Interface       Device          Description
  11. -------------------------------------------
  12. 1  \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} (Unknown)
  13. 2 \Device\Packet_NdisWanIp (Unknown)


-----------------------------------

Code :
  1. D:\Snort>snort -i 1
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_{0EE35F58-B5C1-414F-BAD5-E4380B6BC0B7} open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------

Code :
  1. D:\Snort>snort -i 2
  2. Initializing Output Plugins!
  3. Log directory = log
  5. Initializing Network Interface \
  6. ERROR: OpenPcap() device \Device\Packet_NdisWanIp open:
  7.         Error opening adapter: Le fichier spÚcifiÚ est introuvable.
  8. Fatal Error, Quitting..


-----------------------------------
 
 
Mais que ce passe t il ?
 
Ci joint: l'aide:
 

Code :
  1. D:\Snort>snort -?
  2. Initializing Output Plugins!
  4. -*> Snort! <*-
  5. Version 1.9.0-ODBC-MySQL-WIN32 (Build 209)
  6. By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  7. 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
  8. 1.8-1.9 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
  9. USAGE: snort [-options] <filter options>
  10.        snort /SERVICE /INSTALL [-options] <filter options>
  11.        snort /SERVICE /UNINSTALL
  12.        snort /SERVICE /SHOW
  13. Options:
  14.         -A         Set alert mode: fast, full, console, or none  (alert file alerts only)*
  15.                   "unsock" enables UNIX socket logging (experimental).
  16.         -a         Display ARP packets
  17.         -b         Log packets in tcpdump format (much faster!)
  18.         -c <rules> Use Rules File <rules>
  19.         -C         Print out payloads with character data only (no hex)
  20.         -d         Dump the Application Layer
  21.         -D         Run Snort in background (daemon) mode
  22.         -e         Display the second layer header info
  23.         -E         Log alert messages to NT Eventlog. (Win32 only)
  24.         -f         Turn off fflush() calls after binary log writes
  25.         -F <bpf>   Read BPF filters from file <bpf>
  26.         -g <gname> Run snort gid as <gname> group (or gid) after initialization*
  27.         -G <mode>  Add reference ids back into alert msgs (modes: basic, url)
  28.         -h <hn>    Home network = <hn>
  29.         -i <if>    Listen on interface <if>
  30.         -I         Add Interface name to alert output
  31.         -l <ld>    Log to directory <ld>
  32.         -m <umask> Set umask = <umask>
  33.         -n <cnt>   Exit after receiving <cnt> packets
  34.         -N         Turn off logging (alerts still work)
  35.         -o         Change the rule testing order to Pass|Alert|Log
  36.         -O         Obfuscate the logged IP addresses
  37.         -p         Disable promiscuous mode sniffing
  38.         -P <snap>  set explicit snaplen of packet (default: 1514)
  39.         -q         Quiet. Don't show banner and status report
  40.         -r <tf>    Read and process tcpdump file <tf>
  41.         -R <id>    Include 'id' in snort_intf<id>.pid file name
  42.         -s <server:port> Log alert messages to syslog server (default port: 514)        -S <n=v>   Set rules file variable n equal to value
  43. v
  44.         -t <dir>   Chroots process to <dir> after initialization
  45.         -T         Test and report on the current Snort configuration
  46.         -u <uname> Run snort uid as <uname> user (or uid) after initialization*
  47.         -U         Use UTC for timestamps
  48.         -v         Be verbose
  49.         -V         Show version number
  50.         -W         Lists available interfaces. (Win32 only)
  51.         -w         Dump 802.11 management and control frames
  52.         -X         Dump the raw packet data starting at the link layer
  53.         -y         Include year in timestamp in the alert and log files
  54.         -z         Set assurance mode, match on established sesions (for TCP)
  55.         -?         Show this information
  56. <Filter Options> are standard BPF options, as seen in TCPDump
  58. * denotes an option that is NOT SUPPORTED in this WIN32 port of snort.


---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  [NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??

 

Sujets relatifs
Je dois m'occuper d'un futur réseau, aidea l'aide help help help svp svp svp(sans fil)
Cherche compte ftp pour sauvegarde[aol illimite / tiscalli] Posible plusoieurs sur un compte ?
accélérer windows2000 au demarrage à l aide svp !!!!!SP4 et NT4 ????
aide pour graver des dvdcréation de compte à la louche avec addusers sur w2k serveur
COMPTE ADMINISTRATEUR ?Démarrer un ordinateur à l'aide de raccourcis clavier
Plus de sujets relatifs à : [NT4] Verouillage d'un compte inexpliqué !! Aide sur SNORT??

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.081 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)