none
Bizarrerie Active Directory, virus? RRS feed

  • Question

  • Bonjour,

    Je suis face à quelque chose que je ne m'explique pas. Suite à un problème matériel, j'ai dû restaurer ma VM de l'Active Directory, j'ai constaté à se moment là, des utilisateurs avec des droits administrateur bizarres non existant dans le groupe, j'ai supprimé les comptes. J'en ai profité pour modifier mon mot de passe administrateur par précaution sur l'ensemble des mes postes serveur.

    Au bout d'une semaine, j'ai eu un message d'erreur sur l'active directory (erreur 4000 DNS) qui parle entre autre de réplication entre 2 contrôleurs de domaine. Hors je n'ai pas 2 contrôleurs de domaine? Puis j'ai reçu une alerte de notre antivirus sur un blocage web (http://173.249.19.202:1337/System.exe) puis encore 2 fois espacé de 4 jours et enfin (http://195.154.82.175:65000/System.exe) 3 fois aussi espacé de 3-4 jours. J'ai vu réapparaitre un par un les utilisateurs bizarres (depjive puis oviato puis adminisrator) supprimés dans la foulée.

    Je ne constate rien dans le démarrage, dans les services ou sur un autre poste du réseau. Je ne trouve rien qui fait référence à çà. Et cela revient malgré le changement de mot de passe.

    Peut-il y avoir un lien entre l'erreur DNS 4000 et ceci? Merci pour vos lumière sur un retour d'expérience identique ou un conseil?

    Cordialement,

    Mickaël 


    mardi 13 avril 2021 09:49

Toutes les réponses

  • Bonjour Mickaël,

    Merci d'avoir posté sur notre forum Technet.

    Avant d'aller plus loin, je voudrais confirmer avec vous les informations suivantes:

    Combien de contrôleur de domaine dans votre environnement?

    Y a-t-il un DC a été rétrogradé?

    Existe-t-il un autre journal des événements lié à ce problème?

    Pouvez-vous envoyer une requête ping à 127.0.0.1 sur le contrôleur de domaine problématique?

    Veuillez également vous référer aux méthodes de l'article suivant pour voir si notre problème peut être résolu.

    Event ID 4000 — DNS Server Active Directory Integration

    Cordialement,

    Sunny


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    mercredi 14 avril 2021 08:23
  • DCdiag ? repadmin /showrepl ?

    Quel méthode de restauration a été utilisé ?

    La sauvegarde utilisé est ancienne ?

    mercredi 14 avril 2021 09:32
  • Bonjour,

    Je n'ai qu'un contrôleur de domaine installé il y a un peu plus de 3 ans qui a remplacé un autre contrôleur de domaine sans rétrograder ou répliquer.

    Je ne vois pas de journal d'observateur d'évènement concernant la création automatique des utilisateurs non désirés.

    Dans cmd, le ping 127.0.0.1 fonctionne.

    Est-ce les réponses que vous souhaitiez?

    jeudi 15 avril 2021 12:01
  • Bonjour,

    Quelles informations DCdiag souhaitez-vous que je communique? Idem pour repadmin?

    J'ai eu un souci avec le disque de stockage de la VM, j'ai donc changé le disque, restaurer la sauvegarde windows serveur de la VM Hyper-V, c'est à ce moment, quand j'ai vérifié le serveur, que j'ai vu les 3 utilisateurs avec des droits administrateurs. J'ai restauré une sauvegarde plus ancienne (environ 1 mois avant) et idem, il y avait déjà un utilisateur. J'ai supprimé le compte en question, changé le mot de passe de mon compte administrateur et au bout d'une semaine et demi, est apparu le premier blocage web de l'antivirus avec l'adresse ci-dessus et depuis j'ai une alerte tous les 3 jours environ avec parfois, un des 3 comptes qui revient quand je vais vérifier. Je n'avais pas autant d'alerte avant, mais j'étais certainement passé à côté et peut-être, tant que les faux comptes sont présents, qu'il n'y a pas de requête. Il est possible, comme je vérifie sans cesse, que la requête web se lance pour recréer les 3 comptes s'ils n'existent pas, mais je ne trouve rien dans les services ou sur le poste.

    A côté de çà, je n'ai pas aucun souci sur les postes, tous les utilisateurs travaillent sans problème.

    Merci pour votre retour d'expérience. 

    jeudi 15 avril 2021 12:15
  • Je n'ai qu'un contrôleur de domaine installé il y a un peu plus de 3 ans qui a remplacé un autre contrôleur de domaine sans rétrograder ou répliquer.

    C'est à dire sans rétrograder ? Un ancien contrôleur de domaine doit être retrogradé avant d'être supprimé, sinon il existe des informations de réplications le concernant alors qu'il n'est plus présent. Cela génère des erreurs dans DCdiag et rempadmin et peu provoquer des erreurs lors de la restauration.

    j'ai donc changé le disque, restaurer la sauvegarde windows serveur de la VM Hyper-V

    Quel type de sauvegarde et quel méthode de restauration ? Sauvegarde qui prend en charge l'état du système ?

    Quelles informations DCdiag souhaitez-vous que je communique? Idem pour repadmin?

    Les erreurs de Dcdiag et le résultat de repamin.

    Si vous avez encore des traces d'un ancien contrôleur de domaine qui n'existe plus il faut faire un metada cleanup. Le nom fait un peu barbare pour une opération assez simple...

    http://pbarth.fr/node/94

    vendredi 16 avril 2021 17:04
  • Bonjour,

    Je vous remercie pour votre réponse. Toutefois, je pense que l'on s'éloigne du sujet sauf si je ne vois pas le lien.

    En effet, ma question concerne une infection bloquée par mon agent web de l'antivirus tous les 3-4 jours (http://195.154.82.175:65000/System.exe) qui au début, semblait recréer des comptes administrateur bizarres (Depjive, Oviato et Adminisrateur) et cela ne semble plus être le cas depuis que je les ai supprimé de nouveau.

    J'ai peut-être mal orienté en parlant effectivement de mon erreur DNS 4000 et de mon image hyper-V restaurée possédant déjà ces comptes bizarres.

    Avez-vous déjà été confronté a des comptes administrateurs qui se créent tout seul et une infection web comme celle cité ci-dessus? Je ne vois rien dans les services, ni sur le serveur qui pourrait l'expliquer.  Je présice que j'ai aussi changé mon mot de passe administrateur et pour autant cela s'est reproduit ensuite.

    Merci.    

    mardi 20 avril 2021 10:12
  • Avez-vous vérifié les erreurs dans ddiag et vérifier qu'il n'y a pas de partenaire de réplication dans repadmin (si vous n'avez qu'un contrôleur de domaine.)? 

    Avez-vous déjà été confronté a des comptes administrateurs qui se créent tout seul et une infection web comme celle cité ci-dessus?

    J'ai été confronté a plein de situations différentes et j'ai toujours commencé par dcdiag et repadmin ...

    Cela n'explique pas votre infection, mais il faut procéder par étape et au vue des autres éléments de votre question, on peut fortement supposer qu'il y a des erreurs.

    DCdiag => diagnostique des contrôleurs de domaine, c'est vraiment la base de la base.


    mardi 20 avril 2021 11:39
  • Voici le résultat de DCDIAG:

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : SERVEUR
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.

    Exécution des tests initiaux nécessaires

       Test du serveur : Default-First-Site-Name\SERVEUR
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de SERVEUR a réussi

    Exécution des tests principaux

       Test du serveur : Default-First-Site-Name\SERVEUR
          Démarrage du test : Advertising
             ......................... Le test Advertising
              de SERVEUR a réussi
          Démarrage du test : FrsEvent
             ......................... Le test FrsEvent
              de SERVEUR a réussi
          Démarrage du test : DFSREvent
             ......................... Le test DFSREvent
              de SERVEUR a réussi
          Démarrage du test : SysVolCheck
             ......................... Le test SysVolCheck
              de SERVEUR a réussi
          Démarrage du test : KccEvent
             ......................... Le test KccEvent
              de SERVEUR a réussi
          Démarrage du test : KnowsOfRoleHolders
             ......................... Le test KnowsOfRoleHolders
              de SERVEUR a réussi
          Démarrage du test : MachineAccount
             ......................... Le test MachineAccount
              de SERVEUR a réussi
          Démarrage du test : NCSecDesc
             ......................... Le test NCSecDesc
              de SERVEUR a réussi
          Démarrage du test : NetLogons
             ......................... Le test NetLogons
              de SERVEUR a réussi
          Démarrage du test : ObjectsReplicated
             ......................... Le test ObjectsReplicated
              de SERVEUR a réussi
          Démarrage du test : Replications
             ......................... Le test Replications
              de SERVEUR a réussi
          Démarrage du test : RidManager
             ......................... Le test RidManager
              de SERVEUR a réussi
          Démarrage du test : Services
             ......................... Le test Services
              de SERVEUR a réussi
          Démarrage du test : SystemLog
             ......................... Le test SystemLog
              de SERVEUR a réussi
          Démarrage du test : VerifyReferences
             ......................... Le test VerifyReferences
              de SERVEUR a réussi


       Exécution de tests de partitions sur ForestDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de ForestDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de ForestDnsZones a réussi

       Exécution de tests de partitions sur DomainDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de DomainDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de DomainDnsZones a réussi

       Exécution de tests de partitions sur Schema
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Schema a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Schema a réussi

       Exécution de tests de partitions sur Configuration
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Configuration a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Configuration a réussi

       Exécution de tests de partitions sur colyse
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de colyse a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de colyse a réussi

       Exécution de tests d'entreprise sur colyse.local
          Démarrage du test : LocatorCheck
             ......................... Le test LocatorCheck
              de colyse.local a réussi
          Démarrage du test : Intersite
             ......................... Le test Intersite
              de colyse.local a réussi

    mercredi 21 avril 2021 06:57
  • Et voici le résultat en tapant Repadmin /showrepl

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Default-First-Site-Name\SERVEUR
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : 59e6bf91-e192-4d5e-93df-10f0a22c9184
    ID de l'invocation DSA : c972a434-049d-4cee-b3a5-3c84ee0d0044

    mercredi 21 avril 2021 07:00