pinguer mon serveur dns

melinameline · Le 04/02/2009, à 14:56

Bonjour,
je suis une admin réseau dans une entreprise, j'ai un gros probleme, à savoir: quand j'arrive le matin et que le nombre de travailleurs connecté à internet est limité la connexion est tres rapide et je peux de ma machine pinger les deux @s de mon serveur dns (en fait il est en meme tps serveur dns et serveur dhcp).

sachant que je detecte tous les jours des machines virussées qui sont connectées au reseaux et le font bloquer cad dés qu'une machine virusée se connecte au réeseau, le virus fait changer les adresses mac des autres machines connectées, ceci je le verifie par arp -n sur le serveur, et le resultat un ensemble d'@s ip ayant toutes la meme @ mac,
sur certaines machines virussées j'est trouvé un virus qui fait monter des pages webs de pub et aussito le pc est bloqué.

quand je verifie dans le navigateur mozilla dans le menu edition>preferance>paged'accueil je trouve que le virus a figé le champs de la page d'accueil à <gras>"http//luck114.com"</gras>

le probleme c'est que a un certin moment de la journée je ne peux plus pinger le serveur dns, et ceci m'intrigue beaucoup.

je voudrais savoir à quoi ce là est dù. et quelle est la solution pour ne pas perdre la connexion à chaque fois.

merci d'avance

Uke · Le 04/02/2009, à 15:00

Bonjour,

Qu'y a-t-il dans les logs ?
Est que tu dispose d'un antivirus ?
Quel droits ont tes utilisateurs (j'espère qu'ils ne sont admins de leurs machines ;-) ) ?
Quel virus est en cause ?

Uke · Le 04/02/2009, à 15:00

Euh autre question : Quels sont les OS ? j'image Ubuntu pour le serveur, mais les clients ?

Grunt · Le 04/02/2009, à 15:54

La solution?

Nettoyer tout ce bazard!

Soit tu es admin réseau et système, auquel cas tu devrais déjà être en train de te battre contre le virus au lieu de poster ici,
soit il y a un admin système et tu devrais aller gueuler un peu, parce que le fait qu'il fasse mal son boulot t'empêche de faire le tien!

TeddyTheBest · Le 04/02/2009, à 16:03

Hum, la machine qui se connecte à l'adresse http//luck114.com semble être infectée par le virus Dropper/OnlineGameHack.43752 ou du moins, une de ses variantes...

Pour info, ce virus a été découvert en Corée en Décembre 2008, est du type Trojan Horse.

Il s'attaque, évidemment, à des machine sous Windaube en créant les fichiers suivants :
- dbsksokt.dll dans le dossier Windows/System,
- DEL.bat à la racine,
- svchost.exe dans le dossier Windows/Fonts,
- sys dans le dossier Windows/Fonts,
- cmvd dans le dossier Windows/Fonts,
- Atieccx.sys dans le dossier Windows/Drivers.

En plus, et comme d'habitude pour les trojan, les clés suivantes du registre sont créées et/ou modifiés :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page="http://luck114.com"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyDog\DisplayName="mydog"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyDog\ImagePath=Windows system folder\drivers\atieccx.sys

Good Luck

Dernière modification par TeddyTheBest (Le 04/02/2009, à 16:08)

Ayral · Le 04/02/2009, à 16:52

Soit tu es admin réseau et système, auquel cas tu devrais déjà être en train de te battre contre le virus au lieu de poster ici, soit il y a un admin système et tu devrais aller gueuler un peu, parce que le fait qu'il fasse mal son boulot t'empêche de faire le tien!

Je suis tout à fait d'accord. Ce réseau devrait être protégé plus efficacement à la fois par une machine passerelle servant de filtrage, de pare-feu etc, genre ipcop avec tous ses addins, genre bot, net filter et j'en passe, et bien sûr par un anti virus installé sur une machine qui surveille toutes les autres comme les versions entreprise de Kaspersky, de Symantec, etc. y en a plein.
Vu comme tu en parles on se demande comment ça peut encore marcher. J'espère au moins que les pare-feux intégrés des XP Pro sont activés... sinon il y a des machines qui doivent mouliner sérieux en ce moment pour servir de serveurs de virus... (je dis ça, ça m'est arrivé sur une machine du lycée dont je suis administrateur...)

melinameline · Le 04/02/2009, à 18:24

merci de m'avoir répondu,
oui, je suis d'accord qu'il y a un virus qui tourne dans le réseau, mais est ce que c'est lui la cause qui fait que je ne peux pas pinguer mon serveur???

pour répondre à Uke:

-Qu'y a-t-il dans les logs ?

si tu parle du fichier /var/log/syslog de mon serveur; je ne les ai pas encore vérifier;

-Est que tu dispose d'un antivirus ?

oui, mais certaines manquent de mise à jour et même si d'autre en ont, il ne détecte pas le virus.

-Quel droits ont tes utilisateurs (j'espère qu'ils ne sont admins de leurs machines ;-) ) ?

bon, les machines sont sous windows sans aucune restriction sur quelque chose: alors comment doit-je faire pour ne pas laisser avec les droits administrateurs???:o

-Quel virus est en cause ?

c'est ce que je me pose comme question:/

Euh autre question : Quels sont les OS ? j'image Ubuntu pour le serveur, mais les clients ?

ma machine serveur est sous ubuntu server 8.10, toutes je dis bien toutes les machines clientes sont sous windows xp.

pour Grand_Grunt

Nettoyer tout ce bazard!

je ne peux le faire pour toutes les machines: dés que je détecte une machine infectée je la déconnecte est soit je la formate si elle ne contient pas des données utiles soit je la scanne avec un anti virus et là se pose le problème car je ne trouve toujours pas l'anti virus qui peut detecté et supprimer les virus sur ces machines, en plus sur certaines machines installé un logiciel de travail payant avec une licence annuelle et donc si je formate la machine le logiciel s'efface est le réinstaller demandera l'appelle à l'entreprise le commercialisant et il faudra repayer la licence même si la date d'expiration de la licence passée n'est pas encore atteinte ,

Soit tu es admin réseau et système, auquel cas tu devrais déjà être en train de te battre contre le virus au lieu de poster ici,

réellement je ne suis qu'admin réseau, mais dans inexistence d'un admin système dans cette entreprise, je doit faire les deux et je ne passe pas mon temps à poste pas pour rien mais bel et bien pour résoudre le problème.

pour TeddyTheBest
merci pour les informations, donc pour m'assurer que le virus infectant les machines est Dropper/OnlineGameHack.43752 je devrai me rendre au chemins que tu m'a décrit et je suis sensée trouver les fichier que t'a listé, n'est ce pas?? et si c'est le cas quel est anti virus qui pourra le supprimer???

pour Ayral

Ce réseau devrait être protégé plus efficacement à la fois par une machine passerelle servant de filtrage, de pare-feu etc, genre ipcop avec tous ses addins, genre bot, net filter et j'en passe,

oui je suis d'accord, le firewall est en cours de construction. je devrai empêcher les sites de discussion : msn, skype les sites de téléchargements : youtube, imeche, casa. c'est tous ce que je sais faire pour le moment.

et bien sûr par un anti virus installé sur une machine qui surveille toutes les autres comme les versions entreprise de Kaspersky, de Symantec, etc. y en a plein.

d'accord, alors en plus d'un firewall il faut avoir une machine windows qui surveille tout le réseau. donc je doit prendre une machine windows et installer dessus un antivirus entreprise que je configurerai aux adresse de mon réseau?? n'est ce pas????

J'espère au moins que les pare-feux intégrés des XP Pro sont activés...

je ne le sais pas encore, et je ne sais pas comment le vérifier sous windows: alors s'il vous plais indiquez moi comment le faire.

remarque importante:
-dans ce parc informatique il y a plus de 350 machine connéctée, toutes sous windows.
- il y a des personnes qui s'attribuent des adresses ip dynamiques et même parfois statique en créant ainsi un conflit d'adresses qui fait planté le serveur dhcp et avec lui la connexion à internet. comment puis les arrêter à faire ça???:o

merci de me répondre.

TeddyTheBest · Le 04/02/2009, à 18:59

Si ton Ubuntu te sert de serveur DNS et DHCP, pourquoi dans ce cas, ne pas mettre en place, en plus, un serveur proxy aussi dessus (squid peut être une bonne solution) : les PC du LAN passeraient désormais par ce serveur pour se connecter au net ; donc tu pourrais filtrer les requêtes vers des sites pourris (par exemple http//luck114.com).

Par contre, sur ton routeur, il faudrait que tu interdises toutes les adresse MAC de sortir, à part, bien sûr, celle de ton PC serveur.

Par ailleurs, en mettant un antivirus tel que ClamWin en fonction sur ton serveur Ubuntu ainsi que sur les clients mais en obligeant aux clients de venir chercher, sur ton serveur Ubuntu, les dernier fichiers (*.cvd) de mise à jour virales plutôt que sur le net, tu éviterais ainsi les problèmes de versions différentes. En effet, si il y a une rupture de la connexion internet, les PC retardataires connectés au LAN viendrtaient quand même mettre à jour leur version antivirus en se connectant sur ton serveur.... Tu peux voir à ce propos le tread sur ce forum à l'adresse http://forum.ubuntu-fr.org/viewtopic.php?id=283971

En attendant, et si tu trouve une machine infectée, je te conseille de lancer dessus, si tu en as la possibilité, un antivirus en ligne (Kapesky, Trend Micro...etc) ainsi qu'un antipeste aussi en ligne (PestPatrol, Ewido...etc)

Pour empêcher que les utilisateurs modifient certains paramètres essentiels sur une machine sous Windows, il ne doivent, en aucun cas, être administrateurs locaux. Après tout, c'est toi l'administratrice. Donc, tu dois être la seule à pouvoir le faire en te connectant en tant qu'administrateur local. Bien évidemment, ça verrouille les utilisateurs dans l'installation de programmes, matériels...etc , mais bon, c'est aussi une politique de sécurité.

En plus, si tu veux pas être emmerdée pour tes adresses IP en DHCP, ne serait il pas préférable de faire des réservation par adresse MAC ? Fastidieux, certes, mais rudement efficace....

Enfin, et ceci afin de faciliter la maintenance des PC de tes utilisateurs, je te conseille d'envisager des prises en main à distance (via RDP par exemple, voire même VNC)

Dernière modification par TeddyTheBest (Le 04/02/2009, à 20:47)

Ayral · Le 04/02/2009, à 19:40

350 machines connectées ? C'est de la folie...
Je ne suis pas sûr qu'un serveur ubuntu soit totalement approprié. Je peux me tromper, mais...
Dans ma boîte sur le réseau pédagogique '50 stations, 200 utilisateurs, j'ai un serveur windows 2003 sous nom de domaine. Les users et leurs dossiers (lecteur logique p:\) sont créés par une interface créée par le rectorat de toulouse, qui m'évite de faire tout ça à la main. Les stations ne démarrent que si l'user donne son login et son password ce qui permet aux stratégie du serveur de savoir de quelle OU utilisateur ils font partie (prof, élève, administrateur de station) ce qui permet de leur envoyer le bureau qui va avec et d'injecter aussi les stratégies liées à l'OU matériel (type de salle, imprimante autorisée, etc). Les stratégies brident totalement les machines, y compris le masquage des disques de la station, que les users profs et élèves ne voient pas. Pas de "Exécuter" dans le menu démarrage, panneau de config évaporé, pas d'explorateur, page d'accueil des navigateurs bridée par script, j'en passe et des meilleures. Les applications (flash player, open office, etc, sont installées par msi. L'accès au web est filtré par un Slis (dont les blacklists sont mises à jour chaque nuit à 4:00) lui même en liaison avec l'active directory du serveur W2003, ce qui me permet de retrouver les auteurs des requêtes malicieuses. Sur le slis (piloté par interface html à distance) je peux rajouter des interdictions (sites précis, ou domaine entier comme skyrock, donc tous les skyblogs et les tchats avec).
Bien sûr c'est un lycée, c'est obligatoire puisque nous avons des élèves et non des travailleurs, mais le principe est le même.
Pour l'interface de gestion serveur 2003/2008 : http://pedagogie.ac-toulouse.fr/tice/reseaux/reseaulocal/magret/
Pour le SLIS (serveur Linux d'internet scolaire): http://www.slis.fr/
Pour le reste (notamment les antivirus, regarder directement sur les sites des éditeurs. Chaque station est équipée d'un client, qui teste sa mise à jour sur le serveur et se met à jour en tâche de fond sur la machine où est le serveur)
par exemple:
http://kaspersky.telechargement.fr/fiche_entreprise.html?REF=5581
ça coûte cher, mais ton travail de réparation des machines coûte très cher à ta boîte auassi. Enfin, j'espère!

Dernière modification par Ayral (Le 04/02/2009, à 19:40)

Grunt · Le 04/02/2009, à 19:49

Du nettoyage de virus Windows sur le fofo Ubuntu

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/02/2009, à 14:56

pinguer mon serveur dns

#2 Le 04/02/2009, à 15:00

Re : pinguer mon serveur dns

#3 Le 04/02/2009, à 15:00

Re : pinguer mon serveur dns

#4 Le 04/02/2009, à 15:54

Re : pinguer mon serveur dns

#5 Le 04/02/2009, à 16:03

Re : pinguer mon serveur dns

#6 Le 04/02/2009, à 16:52

Re : pinguer mon serveur dns

#7 Le 04/02/2009, à 18:24

Re : pinguer mon serveur dns

#8 Le 04/02/2009, à 18:59

Re : pinguer mon serveur dns

#9 Le 04/02/2009, à 19:40

Re : pinguer mon serveur dns

#10 Le 04/02/2009, à 19:49

Re : pinguer mon serveur dns

Pied de page des forums