Virus? Trojan? Assurement mais quoi ?!! DNS/DHCP changent tt seuls

Virus? Trojan? Assurement mais quoi ?!! DNS/DHCP changent tt seuls - Win NT/2K/XP - Windows & Software

Marsh Posté le 08-11-2005 à 17:53:00    

Bonjour,
Après avoir eu depuis qqs temps (réseau tout neuf d'il y a 3mois) plein de problèmes de réseau, j'ai trouvé ça :
j'ai quelque chose comme un virus ou un trojan qui pose le petit problème suivant :
il change tout seul l'adresse IP du DNS (dans ipconfig /all => "serveurs DNS" 168.95.1.1)
 
Ce qui provoque surement une surcharge du serveur Chinois (d'après le site corespondant au DNS visé),
et surtout (égoistement) ça nous rame à mort, et ça pose des problèmes d'accès aux serveurs internes !!!
 
Parce qu'on est pas si égoïstes que ça, on a bloqué au niveau du pare-feu tous les paquets venant et partant vers l'IP de ce serveur (168.95.1.1)...
Comme ça, dès qu'un poste à ce problème, on le sait : ils ont pu d'internet !!
et la solution est là : faire une "ipconfig /renew" (ou débrancher le câble 15s)... et les problèmes se résolvent par eux même...
OUI MAIS BON ! Hein, quand même ... c'est pas une "solution" !!
 
On a Symantec 10 d'installé sur tous les serveurs et postes et microsoft antispyware, tous 2 bien à jours, et les mises à jours Windows sont aussi à jour (géré par WSUS)... j'ai fait passer au crible serveurs et qqs postes, même avec Bitdefender.com en plus, et aucune trace de rien !! Je pourrais installer un autre antispyware mais ... pourquoi faire ?! Ce type de "trojan" date de 2003 : DNSchanger mais il serait détecté !
 
Au niveau des registres ... on trouve le fameux 168.95.1.1 dans les clés "dhcpnameserver" (pas dans l'affichage de ipconfig /all pourtant), et si on le vire ... bah oui, of course, ça revient (héhé).
 
Si quelqu'un avait une petite idée (BRAINSTORMING !!) ... à moins que ce ne soit un tout nouveau virus implanté juste chez nous  :(  
Merci

Reply

Marsh Posté le 08-11-2005 à 17:53:00   

Reply

Marsh Posté le 08-11-2005 à 18:54:19    

Hel,
 
Changer des baux DHCP ca peut se faire avec des srcipts et je ne suis pas sure que les AV les détectent comme tels ! PAr exemple avec des script WMI, c'est pas super compliqué !  
 
Pour ton problème; regarde qui as les droits de modifier ton DHCP !  

  • Est-ce que c'est tous les comptes ?  
  • Est-ce que c'est un compte en particulier ?  
  • Est-ce que tu as mis en place l'audit sur les objets ou ce genre de chose ?
  • Depuis combien de temps ça le fait ?  
  • As-tu vidé le cache ?
  • Est-ce que c'est une partie du réseau qui obtient cette IP ou tous le réseau ?  
  • Comment est configuré ton DHCP ?
  • A quel moment cette adresse leur ai envoyé ? au renouvellement du bail (50% et +- 70% je crois du temps total du bail) ou à la création du bail ?


 
@+
cvb


Message édité par cvb le 08-11-2005 à 18:54:38
Reply

Marsh Posté le 08-11-2005 à 19:20:19    

* Le truc assez original, c'est que ça change ... au bout d'un temps indéterminé (mais avant le time out du bail). A la création du bail ... j'ai l'impression qu'il est OK, mais il a tôt fait de changer ! Je dis changer : le bail reste à la même date qu'avant de changer le DNS !!
* Si on ne fait rien, ... ça a l'air de rester stable (mais si on ... va sur internet, ça change, au bout de x minutes).
* Le DHCP envoie ses DNS qui ne sont que les 2serveurs DC et le routeurs ...
* On a paramêtré pour vider automatiquement le cache l'IE .. mais quel rapport ?
* Ca le fait surement depuis 2-3 semaines (c'est juste qu'on a enfin identifié le HIC dans le réseau)
* Pour la mise en place d'audit sur les objets ... oui, mais sur quoi je peux faire l'audit plus précisement ? Comment faire un audit du registre ? (ça je sais pas faire)
* Enfin, Les droits de modif du DHCP sont accordés exclusivement aux administrateurs systèmes (à aucun utilisateur).
 
Merci de ton soutien cvb

Reply

Marsh Posté le 08-11-2005 à 19:59:22    

Cez a écrit :

* Le truc assez original, c'est que ça change ... au bout d'un temps indéterminé (mais avant le time out du bail). A la création du bail ... j'ai l'impression qu'il est OK, mais il a tôt fait de changer ! Je dis changer : le bail reste à la même date qu'avant de changer le DNS !!
* Si on ne fait rien, ... ça a l'air de rester stable (mais si on ... va sur internet, ça change, au bout de x minutes).
* Le DHCP envoie ses DNS qui ne sont que les 2serveurs DC et le routeurs ...
* On a paramêtré pour vider automatiquement le cache l'IE .. mais quel rapport ?
* Ca le fait surement depuis 2-3 semaines (c'est juste qu'on a enfin identifié le HIC dans le réseau)
* Pour la mise en place d'audit sur les objets ... oui, mais sur quoi je peux faire l'audit plus précisement ? Comment faire un audit du registre ? (ça je sais pas faire)
* Enfin, Les droits de modif du DHCP sont accordés exclusivement aux administrateurs systèmes (à aucun utilisateur).
 
Merci de ton soutien cvb


 
Les droits étant accordés au administrateur, la "merde" ne doit pas être trés loin ! C'est un fichier ou une conneries qu'as les droits admins, t'en conviendra. En ce qui concerne le cache je parle des caches DHCP, je crois que l'on peut les nettoyer...
 
Pour la mise en place de l'audit sur le registre, je ne sais pas si c'est faisable ! A moins d'auditer "regedit.exe", mais je ne sais si c'est faisable sur un fichier. Regedit est en plus une multitude de fichier...
 
Question :  
Quand la personne se connecte et demande un bail une première est que c'est bon ? cette IP est-elle présente ?
Quand la personne renouvelle son bail, l'IP 'pirate' est-elle apparu entre temps ?
Est-ce que vous avez remonté votre DHCP ? Combien avez-vous de DHCP ? Est-ce qu'ils sont tous infectés ?  
Si t'en désactive un (serveur DHCP) est-ce que l'IP pirate arrive quand même ?  
 
Isole, ta machine qui posséde le DCHP avec le minimum de client pour voir si ça vient de la machine ou du réseau ! Tu seras vite fixé !
 
@+

Reply

Marsh Posté le 09-11-2005 à 10:09:49    

Citation :

.......je parle des caches DHCP, je crois que l'on peut les nettoyer...[/quotemsg]
Ah oui excuse moi, oui on a bien vidé le cache DHCP du serveur ...  mais rien n'y change.
 
 
[quote]Pour la mise en place de l'audit sur le registre, je ne sais pas si c'est faisable ! A moins d'auditer "regedit.exe", mais je ne sais si c'est faisable sur un fichier. Regedit est en plus une multitude de fichier...


Bah ouais, c'est bien c'que j'me disais !
 
 

Citation :

Quand la personne se connecte et demande un bail une première est que c'est bon ? cette IP est-elle présente ?


La première fois (après un démarrage par exemple) dès qu'on peut je me logue et fait un ipconfig /all, et ... tout est bon. Il execute un script de log (connexion aux lecteurs réseaux), et ... un peu plus tard, HOP, les DNS sont changé
 

Citation :

Quand la personne renouvelle son bail, l'IP 'pirate' est-elle apparu entre temps ?


Carrement oui : on a même mis un bail de 8j (et ça se change au moins 2x par jour)
 

Citation :

Est-ce que vous avez remonté votre DHCP ? Combien avez-vous de DHCP ? Est-ce qu'ils sont tous infectés ?  
Si t'en désactive un (serveur DHCP) est-ce que l'IP pirate arrive quand même ?


J'ai 1 serveur qui sert de serveur DHCP et DNS primaire, et 1 autre serveur qui fait juste DNS 2ndaire.
J'ai vidé les cache DHCP et DNS ... mais bon.
 

Citation :

Isole, ta machine qui posséde le DCHP avec le minimum de client pour voir si ça vient de la machine ou du réseau ! Tu seras vite fixé !


En IP fixe, ça reste stable, là ... je peux voir pour mettre une machine directement sur le pare-feu (sans DHCP ou DNS ... elle sera de cette façon en 169.xx.xx.xx)
 

Citation :

@+


@+ merci  :)  

Reply

Marsh Posté le 09-11-2005 à 10:13:36    

Honettement, je ne vois pas trop d'ou pourrait venir ton soucis ! Va faire un tour ici si ce n'est pas déjà fait : http://www.forum-microsoft.org/ il t'aideront peut-être :/
 
@+

Reply

Marsh Posté le 09-11-2005 à 10:27:41    

heu ... bêtement, non, pas encore : hardware.fr c'est mon fief ! bon d'accord, on va se faire casser un peu la tête aux autres ... je vous tiens au courant

Reply

Marsh Posté le 13-11-2005 à 17:33:02    

Alors mon problème, ça y est, j'ai trouvé la source de ce virus :
 
une BORNE WIFI !!!
Et oui, enfin, disons plutôt un routeur WAN Wifi, qui servait de parserelle WiFi.
J'ai snifé le réseau, et ai trouvé des proposition de serveur dns vers 168.95.1.1 ...
proposé par l'IP de ce routeur !!
 
L'explication ? Chaque Routeur Wan a un DNS par défaut (qui est changé par celui qu'il recoit du FAI), et là ... c'est du SiteCom, et par défaut ... ça part donc vers l'Asie !! (n'empêche que cette IP, on la trouve dans aucune doc !!).
Le réseau était en DHCP, mais ce genre de borne devait ... faire suivre le DHCP (sur les portables en Wifi), tout en étant accessible en fixe (va configurer une borne qui change d'IP). Bon, là on a changer les paramêtres mais c'était tout de même une histoire de fois hein ?!!
 
Morale : Les problèmes ont parfois une origine ... à laquelle on aurait jamais pensé !! (un virus dans un routeur?! lol)

Reply

Marsh Posté le 13-11-2005 à 18:11:24    

compliqué ton histoire, merci quand même d'avoir mis  la solut...;)
 
@+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed