locked
Utilisateurs Fantomes RRS feed

  • Question

  • Bonsoir,

    J'ai la charge d'une très petite structure qui n'a pas évolué de son SBS 2003 car d'une ils n'en ont pas les moyens (1 serveur et 4 postes) et d'autre part, tout leur va bien car ils ont leur exchange intégré et pop3

    Par contre mon problème, c'est qu'ils ont été attaqué par le ransomware Heets qui leur à crypté tout le serveur

    Je le leur ai reconstruit et grâce à un script que j'ai écrit, je reçoit par mail tous les évènements majeurs qui riquent d'être intéressants.

    Au vu de l' événement N° 680 je me suis aperçu qu'un intrus s'était introduit avec un nom JCIFS1_6_E2, _E4, _73, _6D

    puis en investiguant un peu plus, au vu de l'événement 628, je me suis aperçu qu'un ou plusieurs comptes avaient été créés et ces comptes se terminaient tous par un '$' JCIFS1_6_E2$

    J'ai essayé de créer ces comptes utilistateurs mais AD a répondu qu'ils existaient déjà ???

    Alors, je voudrais bien savoir comment visualiser ces comptes et si oui, avec quels outils car je sens que ce serveur va encore être visé. D'autant plus qu'avec l'événement 540 ces utilisateurs se connectent via l'iP 192.168.1.6 qui est celle de l'imprimante Samsung (qui possède un module fax et email) 

    Tous les ports de la box sont fermés sauf le 443 le pop le smtp et le 3309

    Je tiens à votre disposition les copies d'écran puisque je suis interdit de les poster ici aujourd'hui

    Avez-vous une idée

    Merci pour votre réponse

    peut-on valider mon compte pour que je puisse vous mettre 3 captures d'écran SVP - Merci

    • Modifié Dagor31 vendredi 24 mai 2019 21:19 ajout de capture d'ecran
    vendredi 24 mai 2019 16:22

Réponses

  • Bonsoir,

    A force d'éplucher les événements du serveur, en comparant les dates et la directorie de réception des Scans, je me suis rendu à l'évidence que ces login fantômes provenaient du scanner du mopier de samsung qui est en réalité, un photocopieur adapté "Imprimante-Scanneur-Fax réseau" et comme presque toutes ces machines qui lors de leur conception n'étaient pour la plupart non destinées à être fortement utilisées en réseau local, les autorisations ne passaient que par un compte Admin ci-dessous le compte rendu de mes scripts !

    Tous ces comptes sont créés lors de l'utilisation du scan et détruits ensuite, dès l'accusé de réception du serveur vers lequel ils sont envoyés.

    A noter que les ingénieurs de Samsung que j'ai contacté n'ont pas eu encore de réponse et je la leur fournirai pour que leurs clients ne soient plus effrayés de voir ces événements aussi fréquents se produire sous leurs yeux sans en connaître l'origine réelle

    En tout cas, merci à vous tous et toutes pour votre perpétuel engagement pour aider les autres

    Bien cordialement et,

    Pratiquement résolu !!!!


    dagor31


    mercredi 5 juin 2019 18:41

Toutes les réponses

  • Bonsoir,

    les comptes se terminant par un $ correspondent plutôt à des "ordinateurs"... Ce qui empêche de créer des objets utilisateurs de même nom.

    Je vous conseille de fermer le port 3389 sur la box, ou de définir un autre port (>=4000) et de le translater vers le port 3389 en interne. Cela devrait empêcher les nouvelles attaques, mais ne bloquera pas un utilisateur externe qui aurait déjà un login/password.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(86 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate http://base.faqexchange.info

    vendredi 24 mai 2019 21:57
  • Merci Monsieur,

    Je vais fermer ce port sur la box

    Par contre, un autre indice : c'est une box orange pro qui fait aussi office de routeur pour la téléphonie SDA n'y aurait-il pas une brèche à ce niveau ?

    En tout cas merci pour avoir daigner répondre pour un aussi ancien serveur

    Cdlt

    vendredi 24 mai 2019 22:16
  • Bonjour,

    C'est impossible de sécuriser un server en 2003.

    Je ne connais pas le rôle du 2003.

    Mais si c'est un serveur de fichier faut passer sur un NAS rapidement...

    Je vous recommande aussi de migrer en WIN10.


    "Marquer comme réponse" les réponses qui ont résolu votre problème


    lundi 27 mai 2019 18:05
  • Bonjour,

    Oui, je sais bien qu'un 2003 est difficile à sécuriser, mais cette petite structure avait trouvé son idéal dans le SmallBusinessServer 2003 car, il faisait office de sereur de fichiers, la sécurisation des postes était excellente et surtout, ils avait exchange inclut et de plus un connecteur POP et SMTP : le rêve !

    Mais Microsoft n'a pas daigner jeter un oeil sur ces petites entreprises qui aimaient le tout en un

    Va falloir les passer sur Linux, un système où je eux faire boucoup plus, mais reste à les convaincre sur la bureautique .

    En tout cas, tous les enregistrements de la base d'événement sécurity me sont envoyés par emil dès lors qu'ils sont détectés j'ain très gros srcipt pour ça.

    Si quelqu'un est interessé  bien qu'il soit en vbscript, (vu mon âge) il fonctionne très bien et peut-être aisément transporté en powershell ...contactez moi . :=)) 

    Mais je suis toujours à la recherche de comptes fantômes :

    sur 2003 on peut en créer avec un $ à la fin et on les voit (2003 server demande à passer ces comptes en 2000 server !)sur sbs2003 on peut les créer, mais on ne les voit plus et si on essaye de créer un compte identique : refus "déjà existant" alors, toujours ma question : comment les voir ???

    Merci pour vos réponses car il y a encore beaucoup de boîtes qui tournent en 2003 et w7 j'en ai même vu qui tournaient en XP !

    Cordialement

    lundi 27 mai 2019 18:44
  • Bonsoir,

    pour la recherche dans AD, on peut toujours essayer de créer des recherches enregistrées... Mettre un nom à la requête

    dans le type de recherche, mettre "recherche personnalisée", puis cliquer sur l'onglet "avancé".

    Un cadre permet alors de saisir une requête de type LDAP...

    Exemple de saisie dans ce cadre:

    (name=*toto*)

    ou

    (name=*nom))(objectclass=user)

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(86 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate http://base.faqexchange.info

    lundi 27 mai 2019 19:45
  • Bonjour,

    Merci pour l'info, je vais essayer et reviendrai pour le résultat

    Cordialement

    mardi 28 mai 2019 09:45
  • Bonsoir,

    A force d'éplucher les événements du serveur, en comparant les dates et la directorie de réception des Scans, je me suis rendu à l'évidence que ces login fantômes provenaient du scanner du mopier de samsung qui est en réalité, un photocopieur adapté "Imprimante-Scanneur-Fax réseau" et comme presque toutes ces machines qui lors de leur conception n'étaient pour la plupart non destinées à être fortement utilisées en réseau local, les autorisations ne passaient que par un compte Admin ci-dessous le compte rendu de mes scripts !

    Tous ces comptes sont créés lors de l'utilisation du scan et détruits ensuite, dès l'accusé de réception du serveur vers lequel ils sont envoyés.

    A noter que les ingénieurs de Samsung que j'ai contacté n'ont pas eu encore de réponse et je la leur fournirai pour que leurs clients ne soient plus effrayés de voir ces événements aussi fréquents se produire sous leurs yeux sans en connaître l'origine réelle

    En tout cas, merci à vous tous et toutes pour votre perpétuel engagement pour aider les autres

    Bien cordialement et,

    Pratiquement résolu !!!!


    dagor31


    mercredi 5 juin 2019 18:41