Intrusion résau windows Server 2008

Fermé
Fred - Modifié par Fred le 25/02/2016 à 16:49
Arm.7.ageddon Messages postés 42 Date d'inscription lundi 11 janvier 2016 Statut Membre Dernière intervention 26 février 2016 - 26 févr. 2016 à 15:52
Bonjour,

Le serveur de l'entreprise que je viens d'intégrer me semble piraté, dans l'observateur d'événement sécurité, j'ai plus de 100 000 entrées sur une période restreinte. Certains audit de connexion me semble préoccupant :


rapport 1 :

- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4672
Version 0
Level 0
Task 12548
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612716

Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360
Channel Security

Computer SRV2008.domaine.local
Security
- EventData

SubjectUserSid S-1-5-18
SubjectUserName SRV2008$
SubjectDomainName DOMAINE
SubjectLogonId 0x8ccfdfa
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege



Rapport 2 :

- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4624
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612717
Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360

Channel Security
Computer SRV2008.domaine.local
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2008$
TargetDomainName DOMAINE
TargetLogonId 0x8ccfdfa
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {9149287C-94AD-3E78-897D-A8AD2E7F66A2}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress 192.168.1.99
IpPort 63403




J'ai demandé l'achat d'un pare-feu en intégrant l'entreprise, afin de mettre en place une politique de sécurité et j'ai modifié le mdp serveur que la société qui s'occupe de la maintenance avais laissé en admin depuis des années...

Pourriez vous m'aider a sécuriser se réseau, j'avoue être dépassé.
A voir également:

2 réponses

Pierre1310 Messages postés 8554 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 639
25 févr. 2016 à 16:50
Bonjour,

Pour commencer envois l'adresse IP ayant effectué les 100 000 demandes à la police :)
0
Malheureusement dans les log que j'ai les adresses IP change régulièrement.
0
Pierre1310 Messages postés 8554 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 639
26 févr. 2016 à 10:24
Ne t'inquiète pas pour ça c'est facile de retrouver quelqu'un de nos jours.
Explique leur ton problème et donne bien la feuille des logs.
3 ans de prison et 150 000€ au maximum pour une intrusion il me semble.
0
Arm.7.ageddon Messages postés 42 Date d'inscription lundi 11 janvier 2016 Statut Membre Dernière intervention 26 février 2016 4
26 févr. 2016 à 15:52
Si c'est ce genre d'adresse : "IpAddress 192.168.1.99" ça va pas être simple, c'est certainement une adresse de ton réseau local..

Après, les entrées de l'observateur d’événement que tu présentes ([ Name] Microsoft-Windows-Security-Auditing) sont très très *très* nombreuses, et c'est normal..
Vérifie que tu n'as pas d'audits de sécurité paramétrés quelque part, et enlève les.

Ça n'empêche effectivement pas de protéger vos installations par un firewall...
0