Deny de service sur un serveur 2003 ?

Le
Stéphane
Bonjour,
Je rencontre un gros problème qui me fait perdre mon latin. Voici le
contexte j'ai un serveur Windows 2003 R2 Std qui est DC, serveur de
fichier DNS, etc ? Tout allait très bien jusqu'au jour ou le
serveur s'est mis à réagir bizarrement. Je m'explique :
Le premier symptôme provient des utilisateurs utilisant Outlook avec
un .pst stocké sur le serveur. De manière régulière le fichier pst =
se
fait déconnecter et provoque un crash d'oulook (toutes versions). Au
bout d'un moment les session d'administration TSE devienne inacessible
et ne font rien C'est à dire que lorsque je lance le client mstsc
je clique sur connexion et rien, je reviens sur mstsc sans message
d'erreur.
Les logs du serveurs sont cleans, pas de processus suspect, bref c'est
le brouillard.
Je me demande si ce n'est pas une attaque DOS lié à un virus sur mon
parc.
J'ai utilisé la dernière version de netmon et j'ai constaté qu'un
poste me lançait beaucoup de trame SMB (c'est plus de 50% du traffic
récupéré) avec des trames de ce type :

2875 7217.396851 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Bind Ack: Call=0x1 Assoc
Grp=0x4DCE5 Xmit=0x10B8 Recv=0x10B8
2877 7217.397828 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x1 Context=0x0 Hint=0x18 Cancels=0x0
2879 7217.399781 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x2 Context=0x0 Hint=0xA0 Cancels=0x0
2881 7217.400757 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x3 Context=0x0 Hint=0x18 Cancels=0x0

D'autre part j'ai lancé un netstat et j'ai une multitude de connexion
de ce type particulièrement pour deux postes clients :
TCP serveur:epmap poste.domain.local:3344 En attente

Voila qu'en pensez-vous ? non-lié? virus ? autres ?

Que piste me suggérez-vous d'explorer ?

Merci beaucoup
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre
Le #19562061
Bonjour,

Il s'est passé du temps et tu as peut être (j'espère) résolu ton pb.
As tu déjà commencé par isoler ce poste du réseau, tu verras vite si il est
la cause, ensuite tu pourras rechercher pourquoi...

Pierre


"Stéphane"
Bonjour,
Je rencontre un gros problème qui me fait perdre mon latin. Voici le
contexte j'ai un serveur Windows 2003 R2 Std qui est DC, serveur de
fichier DNS, etc... ? Tout allait très bien jusqu'au jour ou le
serveur s'est mis à réagir bizarrement. Je m'explique :
Le premier symptôme provient des utilisateurs utilisant Outlook avec
un .pst stocké sur le serveur. De manière régulière le fichier pst se
fait déconnecter et provoque un crash d'oulook (toutes versions). Au
bout d'un moment les session d'administration TSE devienne inacessible
et ne font rien... C'est à dire que lorsque je lance le client mstsc
je clique sur connexion et... rien, je reviens sur mstsc sans message
d'erreur.
Les logs du serveurs sont cleans, pas de processus suspect, bref c'est
le brouillard.
Je me demande si ce n'est pas une attaque DOS lié à un virus sur mon
parc.
J'ai utilisé la dernière version de netmon et j'ai constaté qu'un
poste me lançait beaucoup de trame SMB (c'est plus de 50% du traffic
récupéré) avec des trames de ce type :

2875 7217.396851 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Bind Ack: Call=0x1 Assoc
Grp=0x4DCE5 Xmit=0x10B8 Recv=0x10B8
2877 7217.397828 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x1 Context=0x0 Hint=0x18 Cancels=0x0
2879 7217.399781 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x2 Context=0x0 Hint=0xA0 Cancels=0x0
2881 7217.400757 {MSRPC:486, SMB:485, TCP:276, IPv4:9}
server.domain.local PC_CB MSRPC MSRPC:c/o Response: unknown
Call=0x3 Context=0x0 Hint=0x18 Cancels=0x0

D'autre part j'ai lancé un netstat et j'ai une multitude de connexion
de ce type particulièrement pour deux postes clients :
TCP serveur:epmap poste.domain.local:3344 En attente

Voila qu'en pensez-vous ? non-lié? virus ? autres ?

Que piste me suggérez-vous d'explorer ?

Merci beaucoup
pepe2626
Le #19572841
On 12 mai, 13:50, Stéphane
Bonjour,
Je rencontre un gros problème qui me fait perdre mon latin. Voici le
contexte j'ai un serveur Windows 2003 R2 Std qui est DC, serveur de
fichier DNS, etc... ? Tout allait très bien jusqu'au jour ou le
serveur s'est mis à réagir bizarrement. Je m'explique :
Le premier symptôme provient des utilisateurs utilisant Outlook avec
un .pst stocké sur le serveur. De manière régulière le fichier ps t se
fait déconnecter et provoque un crash d'oulook (toutes versions). Au
bout d'un moment les session d'administration TSE devienne inacessible
et ne font rien... C'est à dire que lorsque je lance le client mstsc
je clique sur connexion et... rien, je reviens sur mstsc sans message
d'erreur.
Les logs du serveurs sont cleans, pas de processus suspect, bref c'est
le brouillard.
Je me demande si ce n'est pas une attaque DOS lié à un virus sur mon
parc.
J'ai utilisé la dernière version de netmon et j'ai constaté qu'un
poste me lançait beaucoup de trame SMB (c'est plus de 50% du traffic
récupéré) avec des trames de ce type :

2875    7217.396851             {MSRPC:486, SMB:485, TCP: 276, IPv4:9}
server.domain.local     PC_CB   MSRPC   MSRPC:c/o Bind Ack:  Ca ll=0x1  Assoc
Grp=0x4DCE5  Xmit=0x10B8  Recv=0x10B8
2877    7217.397828             {MSRPC:486, SMB:485, TCP: 276, IPv4:9}
server.domain.local     PC_CB   MSRPC   MSRPC:c/o Response: unkno wn
Call=0x1  Context=0x0  Hint=0x18  Cancels=0x0
2879    7217.399781             {MSRPC:486, SMB:485, TCP: 276, IPv4:9}
server.domain.local     PC_CB   MSRPC   MSRPC:c/o Response: unkno wn
Call=0x2  Context=0x0  Hint=0xA0  Cancels=0x0
2881    7217.400757             {MSRPC:486, SMB:485, TCP: 276, IPv4:9}
server.domain.local     PC_CB   MSRPC   MSRPC:c/o Response: unkno wn
Call=0x3  Context=0x0  Hint=0x18  Cancels=0x0

D'autre part j'ai lancé un netstat et j'ai une multitude de connexion
de ce type particulièrement pour deux postes clients :
  TCP    serveur:epmap            poste.domain.local:33 44  En attente

Voila qu'en pensez-vous ?  non-lié?  virus ? autres ?

Que piste me suggérez-vous d'explorer ?

Merci beaucoup



moi, je refilerai le bébé a microsoft. Semble t'il un bog du noyau
2003...
Publicité
Poster une réponse
Anonyme