logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Help >> Besoin de preuves... Newtopic | Reply
poster txt
Amista
Inscrit le 15-11-2005
Avatar
Posté le 07-05-2009 13:49

J'fais appel à vous parceque j'ai un p'tit soucis.
Dans le réseau dont je dois assurer la "maintenance", des dossiers d'élèves ont été supprimés.
Le problème, c'est que les élèves en question me disent que c'est un mec qui vit à paris qui les emmmerde en rentrant dans le réseau du bahut via internet...
Mais pas d'bol, cela va faire une semaine que le net est HS pour le réseau, donc personne ne peut entrer, personne ne peut sortir... Je leur explique donc que ce n'est pas possible et que c'est surement quelqu'un de la classe, du bahut qui a leur mot de passe et qui s'amuse un peu.
Elles me racontent alors qu'il y'a un site, arabe, et blablabla. Je leur dis donc que c'est impossible, que c'est interne, pas d'bol la prof s'y met et rajoute du poid dans leur explication bancale.
Du coup mon "chef" commence à stresser un peu, branle bas de combat, convoqué chez le proviseur pour expliquer tout ça, heureusement, elle est plus "lucide" et penche plus pour la thèse interne.
Mais voilà, je dois trouver des preuves...
Mais je ne sais pas trop comment m'y prendre à vrai dire.
quel solution puis-je mettre en place pour leur montrer une bonne fois que c'est bien interne e trouver le/la/les "coupables" ? (si ce n'est pas l'une d'entre elles, voir toutes, qui s'amuse à se supprimer leurs dossiers à la veille des examens espérant passer outre).
_________________________
Tel un chien qui hurle à la mort, j'hurle à la tendresse.
profil | Website | edit | quote
mr.r
Inscrit le 19-07-2008
Avatar
Posté le 07-05-2009 13:55

Bonjour,
Je ne m'y connais pas trop mais tu peux essayer de sniffer le trafique ainsi que regarder dans les logs. Mais peut-être l'as tu deja fait.
Si j'ai bien compris, y'a plus d'accés à internet. Donc pour moi c'est forcement interne.
_________________________
Il y a 10 types de personnes dans le monde : celles qui comprennent le binaire, et celles qui ne le comprennent pas.
profil | mail | Website | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 07-05-2009 14:50

Deja tu peut regarder l'heure a laquel les recents fichiers ont ete supprimer , et ensuite si il y a un systeme de log des users activer les logs meme pour les users authentifier.

sous linux pour avoir les derniers fichiers supprimer avec avoir lancer debugfs tu tape lsdel ca va te lister les recents fichiers supprimer avec leur numero d'inode, tu fait ensuite un stats et tu as la derniere heure d'acces de modification .

sous windows .....utilise recuva de piriform
_________________________
it's all about life
profil | edit | quote
mr.r
Inscrit le 19-07-2008
Avatar
Posté le 07-05-2009 15:12

Tu pourrais donner un peu plus de détail sur ton réseau stp.
Sinon y'a-il du wifi ? Des partages de fichiers sur lesquels rebondir ?
_________________________
Il y a 10 types de personnes dans le monde : celles qui comprennent le binaire, et celles qui ne le comprennent pas.
profil | mail | Website | edit | quote
Shiva
Inscrit le 14-07-2002
Avatar
Posté le 07-05-2009 16:55

http://piermick.free.fr/win2k8/audit.pdf Un exemple de GPO que tu devras modifier mais qui est bien expliquer.

Quote:
Mais pas d'bol, cela va faire une semaine que le net est HS pour le réseau



Impose toi, montre que tu sais, et que c'est toi qui sais et pas eux...autrement tu va te faire bouffer tout le temps...

Bonne chance !
_________________________
On paye pour voir, pour entendre, quand est ce que l’on va devoir payer pour respirer ?
profil | edit | quote
Amista
Inscrit le 15-11-2005
Avatar
Posté le 07-05-2009 17:15

Quote:
sous windows .....utilise recuva de piriform



Merci mais ça c'est bon, j'leur ai récupéré leurs données, sauvegarde journalière oblige .


Quote:
Deja tu peut regarder l'heure a laquel les recents fichiers ont ete supprimer , et ensuite si il y a un systeme de log des users activer les logs meme pour les users authentifier.



j'dois être un gros blaireaux mais j'i rien de trouver de tels dans les logs...

Quote:
Tu pourrais donner un peu plus de détail sur ton réseau stp.
Sinon y'a-il du wifi ? Des partages de fichiers sur lesquels rebondir ?



Alors, un routeur/modem cisco (j'ai plus le modèle en tête) qui connecte le bahut au reste du monde.

Derrière ceci viens deux réseaux, un réseaux pour l'administration et le reseau pédagogique (donc pour les eleves les profs). un reseau en 10.*.*.* et le réseau qui nous intéresse (le pédagogique) en 192.*.*.*

habituellement, entre le routeur/modem cisco et le réseau pédagogique, il y a une tour qui fait office de firewall/passerelle. Mais actuellement, elle n'est plus là, donc le seul contact qui l'y aurait pu avoir entre le reseau administratif et le reseau peda est à éliminer. donc pour sur c'est de l'interne.

Mainenant le reseau concerne :
un contrôle de domaine principal qui tourne sous windows 2000 server, active directory et une couche applicative encore par dessus (mrpet), une petite connection suplémentaire pour la télémaintenance. (que j'ai débranche lorsqu'ils en ont fais allusion)
Ensuite, chai pas y doit y'avoir environ 130-150 machines sur le reseau péda équipé d'xp.

Niveau sécurité, c'est de la merde... Déjà, j'ai remarqué que n'importe quel élève peut installer ou supprimer à sa guise des logiciels, les imprimantes....(je suis entrain de me pencher sur la modification du profil standard mais mon "chef" à qui j'en ai fait part m'a dis qu'il ne fallait pas tout chambouler alors que l'on va nous changer le serveur en juin, bref)
Après j'ai pas encore eu le temps de bien tout regarder et surtout, étant quelqu'un qui s'éparpille très vite, pas très doué, voir pas doué du tout en ce qui concerne la sécurité, les audits qui vont avec et tout, j'fais du bricolage, du taf de portugais.... bref.
Sinon niveau ressource partagé, y'en a un paquet... et jusqu'à maintenant je ne m'était pas intéressé à la stratégie de sécurité de tous ces dossiers partagés ni à ce qu'ils contenaient mais du coup va falloir que je m'y attèle et vite.
ha et pas de wifi du tout. tout est cablé.


bref, j'galère pas mal à trouvé des traces qui pourrait calmer les esprits et peut-etre calmer, du moins un temps les élèments pertubateurs... (cela dis, ils n'ont pas grand mérite, moi-même étant une bouse, je pense qu'avec un soft telecharger sur teleàchier.com ou autre, j'pourrais faire griller des cookies aux pépites de chocolats sur le proc de contrôleur vu la politique de sécurité ici bas... pour dire, j'ai trouvé des comptes dadministration (gestion de salle, gestions des installation de postes, ect.. sans mot de passe. et dans les docs dispos, ils conseils de ne pas en mettre...)

j'mégare désolé, en espérant malgré tout avoir pu apporter deux trois détails pour toi mr.r

_________________________
Tel un chien qui hurle à la mort, j'hurle à la tendresse.

edit:merci pour le lien. Et ouaip, mais bon, jsuis tout nouveaulà bas, faut l'temps que j'prenne des r'pères.

[ Ce Message a été édité par: Amista le 2009-05-07 17:18 ]
profil | Website | edit | quote
mr.r
Inscrit le 19-07-2008
Avatar
Posté le 07-05-2009 19:29

Re,
Bon, c'est pas pour dire, mais c'est un peut la jungle chez vous d'après ce que j'ai lu . Pas de mot de passe pour certains comptes admins, des partages de dossier à tout va, ...
Quote:
(je suis entrain de me pencher sur la modification du profil standard mais mon "chef" à qui j'en ai fait part m'a dis qu'il ne fallait pas tout chambouler alors que l'on va nous changer le serveur en juin, bref)


Tu veux dire quoi par le changement du serv ?

Sinon tu dois bien avoir un moyen de faire passer tous les poste en mode droits restreins, comme par exemple via les GPO. (Fais aussi toutes les maj de tes postes, ça évitera quelques désagréments).
Regarde aussi sur ton DNS, il n'est peu être pas à jour, qui sait, un petit l4m3z qui à trouvé une faille et qui s'en sert pour rebondir sur les autres postes, comme il à une grande utilité sur le réseau, ça peu lui être utile. Si quelques poste sont en admin, ça doit pas être bien difficile.

Tu dis que tu ne t'y connait pas trop en sécurité informatique, moi non plus figure toi, mais bon, on se débrouille comme on peu, on cherche à droite à gauche, et puis, les newffriens sont aussi là (ceux qui voient rarement la lumière du jour, et dire que j'en fait parti ^^ )

Tien nous au courant.

_________________________
Il y a 10 types de personnes dans le monde : celles qui comprennent le binaire, et celles qui ne le comprennent pas.

[ Ce Message a été édité par: mr.r le 2009-05-07 19:32 ]
profil | mail | Website | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 07-05-2009 22:48

avec recuva tu aurais pu voir l'heure et la date a laquel on a effacer tes fichiers

tiens un article qui details les logs sous windows
http://www.hsc.fr/ressources/articles/win_log_files/index.html.fr
http://www.windowsecurity.com/articles/Understanding_Windows_Logging.html

un autre pour comprendre la gestion reseaux sous windows tjrs
http://www.hsc.fr/ressources/articles/srv_res_win/index.html.fr

et enfin un sur la minimisation de service reseaux again sous windows
http://www.hsc.fr/ressources/breves/min_srv_res_win.html.fr

et pour ton active directory un serie d'artcile
http://technet.microsoft.com/fr-fr/magazine/cc135927.aspx

libre a toi ensuite de les lires voir de tester
_________________________
it's all about life
profil | edit | quote
clanger
Inscrit le 04-04-2007
Posté le 07-05-2009 23:35

Si ce n'est déjà fait, changez le mot de passe de ces élèves (tout en leur interdisant la possibilité d'en changer) car l'un d'eux à peut être tout simplement deviné ou trouvé quels étaient les mots de passe de ses camarades et joue avec...

Il faut vérifier par ailleurs qu'aucun compte administrateur n'est utilisé par quelqu'un d'autre pour se connecter sur le système. Il faut recenser ces comptes privilégiés et regardé à quelle date et sur quel poste ils ont été utilisés durant le dernier mois. Si jamais il y a un doute, changez les mots de passe (ce qui devrait être fait régulièrement dans le meilleur des cas...) ou désactivez certains de ces comptes.

Sinon pour en revenir au problème de ces quelques élèves, regardez sur les 2 dernières semaines, leur date de connexion et sur quelle machine pour voir si un login n'a pas été utilisé à quelques minutes d'intervalle sur deux postes différents. Si ça s'est produit, regardez les login utilisés à ces moments là dans la connexion qui précédait et celle qui suivait, ceci pourrait donner le/la responsable: un élève qui veut s'amuser au dépend d'un autre, va utiliser le login de son camarade pour faire sa bêtise, puis revenir à son compte personnel ensuite, par exemple.
profil | edit | quote
lenettoyeur
Inscrit le 25-07-2008
Avatar
Posté le 08-05-2009 12:07

sur ton serveur, pour gérer les partages est-ce qu'il y a le rôle : serveur de fichier. qui est installé ? Si oui, faut regarder de ce côté, il garde peut-être des tarces des connexions, des accès aux partages et des modifications ainsi que des suppression. Sinon va voir dans l'observatoire d'évènement du serveur et des stations voir si ya pas des logs. Si oui, tu les compares et tu les pwned ces n00bz ><
_________________________
« Tourne 7 fois ton curseur autour du bouton envoyer avant d'appuyer ! »
profil | edit | quote
Amista
Inscrit le 15-11-2005
Avatar
Posté le 11-05-2009 12:53

Merci pour votre aide.
Quote:
http://piermick.free.fr/win2k8/audit.pdf


nikel ce p'tit tuto, merci.

Grace à ça, j'ai donc pu voir que seul les connexions sont auditer. j'ai donc voulu aussi auditer l'audit sur objets, histoire d'avoir plus de logs lors de la prochaine mystérieuse disparition de dossiers et fichiers (qui sont surement du au FBI franco-indo-americano-pakistanais-chinois pour me faire perdre ce job) mais je n'ai pas trouvé le fichier de conf des audits (*.inf). j'ai pu l'exporter pour voir à quoi il ressembait mais je n'ai pas trouvé où il se cache. y'a t'il une astuce pour trouver le chemin d'accès de ce fichier ?
Sinon du ocup j'ai modifier le *.inf que j'ai réimporter dans la startégie d'audit mais apperement, pour que le serveur charge les nouveaux paramètres d'audit, je ne pourrais donc tester ça que demain matin (avant que les utilisateurs se log sur le réseau).

Pour info, j'ai aussi trouver une doc de la couche applicative qui se greffe par dessus active directory (mrpet). il est dis (d'une manière succinte) que dans leur stratégie de sécurité des comptes "élèves", pas mal de fonctions sont désactivé (comme dans tout réseau "normal" quoi). Le truc, c'est que là, quelqu'un a du modifier (quand ? je ne sais pas, en tout cas sur avant que j'arrive) ces paramètres. De plus, à moins que entre la doc et le réseau, quelques chemins d'accès aient été modifié, il me manque quelques fichiers de conf...

Bref, je cherche à résoudre un léger soucis, me voilà avec un problème plus épineux sur les bras...

pour ce qui est donc du problème initiale, je rajoute aussi que hélas, la taille des logs n'était pas assez importante pour conserver les logs de connexions qui m'intéressait, bref, si je comprends bien, je n'aurai pas de preuves cette fois-ci non ?
_________________________
Tel un chien qui hurle à la mort, j'hurle à la tendresse.
profil | Website | edit | quote
Newtopic | Reply

Online : Charlesexict, LingEffitty, Patrickroyam, varaben, Viagraoweli et 98 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page