J’avais créée hier le sujet « Victime d’une attaque MITM », et grâce à vos orientations j’ai confirmé que j’étais sur une mauvaise piste. Mais voilà, le problème persiste toujours.
J’ai essayé de joindre ici un schéma de mon réseau, mais l’image ne se charge pas ; A vrai diremon réseau est très simple, je suis dans un LAN qui n’est connecté ni à l’internet ni à un autre réseau. Mon poste est directement connecté au switch, ainsi que les serveurs.
Le problème est le suivant : A partir de mon poste je n’arrive pas à pinguer les serveurs (A et B) contrôleurs de domaine et inversement, quand j’accède aux serveurs d’un autre poste, mon pc n’est pas joignable. Vous me direz c’est un problème au niveau de mon pc, malheureusement ce n’est pas le cas, à partir de mon pc j’arrive à accéder aux autres serveurs du réseau, à d’autres pc, aux dossiers partagés…. Mais ça ne passe pas seulement vers ces deux serveurs.
J’ai lancé Wireshark sur mon poste, quand je fais un ping serveurA ou serveurB, je n’ai aucun paquet ICMP qui s’affiche, par contre le ping vers les autres serveurs est correct avec les lignes correspondant aux Echo request, echo reply.
J’ai vérifié au niveau des pare feu des deux serveurs et il n’y a aucune règle qui bloque. Selon moi, c’est une action malsaine de la part d’un autre administrateur réseau, nous sommes deux. J’aimerais vraiment trouver une solution à ce problème et coincer la personne dans l’idéal des choses.
Pour Linux, tu peux utiliser un Live CD ou une cle USB qui ne necessitent aucune installation
Si les problemes persistent meme une fois que t'as change ton adresse MAC la j'avoue que le mec est baleze
Sinon c'est que tu peux etre sur que quelqu'un a declare l'adresse MAC de ton PC comme devant etre bloque, certainement du cote serveur. Et la demarche que tu auras faite sera suffisante pour declarer a qui de droit qu'il y a un probleme et que ce probleme a ete cause de maniere deliberee.
Par ailleurs, avant de changer ton adresse MAC, sous Linux tu peux tout de suite tester de faire un ping sur ton serveur. Si ca marche alors ca veut dire que le probleme est limite a Windows et que quelqu'un a installe un outil malveillant sur ton poste.
____
Dans ce post j'ai pris comme hypothese que habituellement tu utilises Windows.
____
Mode Gossip ON:
Serieux, tu veux bien expliquer c'est quoi l'ambiance dans la boite ou tu bosses ?
Non parce que faire des coups de putes aux gens dans le genre de celui-ci, si c'est avere, c'est quand meme dingue...
Et je suppose que tes doutes sur une eventuelle malveillance sont quand meme fondes sur une ambiance de merde a la base...ou au moins un collegue douteux...sinon...beh c'est que t'es parano
- Edité par mrjay42 11 février 2015 à 13:42:02
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Merci Tenebrum, j'étais justement en train de vérifier les règles du pare feu au niveau des serveurs.
Juste que là rien d'anormal. Cette Liste dont tu parles se trouve dans le pare feu, parce que là je suis en train de passer en revue les règles de trafic entrant et sortant. est ce que je suis au bon endroit?
Je sais que je peux le demander, mais mon but est d'arriver à trouver un paramètre ou une configuration anormale pour prouver
que quelque chose a bien été modifié délibérément, et me servir de ça pour lui enlever l'accès entièrement. De cette façon je ne serai
plus inquiété des choses qui se passe sur les serveurs derrière mon dos.
Il y a quelque chose qui m'intrigue d'avantage, c'est que j'ai changé l'adresse Mac de mon pc, la connexion s'est rétabli pour quelques m
minutes et ensuite ça part. et de temps en temps, il y a une connexion qui est disponible et l'autre ne l'est pas, des fois ce sont les deux connexions....Et parallèlement, les autres connexions sont stables.
J'ai constaté autre chose, c'est que l'heure de mon système a changé sur poste, et que la "découverte du réseau est désactivée".
Est ce qu'il y a des soft qui permettent de faire ça à distance, J'ai l'impression que je n'ai plus le contrôle sur ce qui se passe dans mon PC.
Quel est le moyen qui permettrait de savoir ce qui tourne sur son pc, j'ai passé en revue les processus qui tournent et rien d'anormal.
Au fait, ça je l'ai fait y a quelques jours en changeant aussi le nom de pc et j'ai figé mon adresse ip, et ça n'a rien donné.
là je n'ai carrément plus de ping, c'est comme si il y avait un programme qui guette ce que je fait, je deviens parano excusez moi mais ça dure depuis une semaine maintenant.
Je vais me virer du domaine et voir ce que ça donne encore.
Je suis le seul à trouver ça pas normal que tu complotes contre ton collègue ? Si tu penses qu'il agit contre l'intérêt de la société tu vas en parler aux RH plutôt que d'essayer de faire ça...
@Tenebrum: merci pour le conseil, j'ai fini par trouver c'est une règle au niveau du pare feu d'avast qui bloque les deux adresses des serveurs , le rapport m'affiche : Le pare-feu a bloqué automatiquement l'adresse IP [détection d'analyse de port].
La règle que j'ai trouvé au niveau du pare feu d'avast concerne l'application "Remote Desktop Connection", mais elle ne spécifie pas les adresses des deux serveurs.
En tous cas lorsque je désactive Avast les choses redeviennent normales.
Maintenant, je vais voir du côté de mon journal des évènements si je trouve une trace d'une intrusion. Dans quel journal Windows je dois voir?
L'esprit n'avance que s'il a la patience de tourner en rond, c'est-à-dire d'approfondir.
Un problème de Ping Etrange !
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)