Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP qui
n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet d'une
intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere définition)
sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites tourner
un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP qui
n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet d'une
intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere définition)
sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites tourner
un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" <samuel.b@libertysurf.fr> wrote in message
news:44d25c48$0$30134$636a55ce@news.free.fr...
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP qui
n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet d'une
intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere définition)
sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites tourner
un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une
IP qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une
machine ip source 192.168.1.254 lance une requête en udp sur
255.255.255.255 et plusieurs machine se mettent à répondre vers
192.168.1.254. Evidemment cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une
IP qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" <samuel.b@libertysurf.fr> wrote in message
news:44d25c48$0$30134$636a55ce@news.free.fr...
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une
machine ip source 192.168.1.254 lance une requête en udp sur
255.255.255.255 et plusieurs machine se mettent à répondre vers
192.168.1.254. Evidemment cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une
IP qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une
machine ip source 192.168.1.254 lance une requête en udp sur
255.255.255.255 et plusieurs machine se mettent à répondre vers
192.168.1.254. Evidemment cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP
qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine
ip source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des machines
distantes (w2k pro) sans se déplacer sur le site et ni sans s'adresser à
des utilisateurs ?
merci pour vos réponses
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP
qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" <samuel.b@libertysurf.fr> wrote in message
news:44d25c48$0$30134$636a55ce@news.free.fr...
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine
ip source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des machines
distantes (w2k pro) sans se déplacer sur le site et ni sans s'adresser à
des utilisateurs ?
merci pour vos réponses
Bonjour,
Alors si des requetes sont envoyées toutes les minutes a partir d'une IP
qui n'existe pas dans
votre réseau, il y a de fortes chances pour que vous fassiez l'objet
d'une intrusion malveillante.
Sans hésitez, faites tourner antivirus et antispyware (derniere
définition) sur vos machines,
et pour l'antivirus, au cas ou celui-ci ne détecterait rien, faites
tourner un antivirus en ligne (trend
ou Norton)
Vous pouvez bloquer l'adresse avec un FW également.
Cdmt
EM
"eddy" wrote in message
news:44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine
ip source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
et cela se produit toutes les minutes, ce qui fait que le réseau est
encombré.
qu'est ce que cela pouvait être ? merci pour votre aide
nos machines sont tous w2k sp4 .
Merci bcp pour ces renseignements
y a t-il une possibilité de faire tourner un antispyware sur des machines
distantes (w2k pro) sans se déplacer sur le site et ni sans s'adresser à
des utilisateurs ?
merci pour vos réponses
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
"eddy" a écrit dans le message de news:
44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
"cette ip n'existe pas chez nous"... Quand vous faites un "ping
192.168.1.254", qu'est-ce que ça donne?
Si ça répond, essayez de localiser le réseau d'où partent les requêtes en
faisant un "tracert 192.168.1.254". Vous pouvez également essayer
d'identifier l'adaptateur réseau qui émet ces requêtes avec "arp -a
192.168.1.254".
Si ça ne répond pas, vous pouvez sans doute identifier l'adresse MAC
émettrice en faisant une capture du réseau avec un outil comme Netmon
(fourni avec Windows) ou Ethereal (freeware).
Muni de l'adresse MAC, vous pouvez faire le tour de vos postes pour
identifier le fautif. Il existe plusieurs méthodes pour connaître l'adresse
MAC de vos postes, cela dépend de la configuration de votre réseau. Si vous
avez des routeurs et des commutateurs réseau qui donnent accès à la liste
des équipements branchés, vous devriez y trouver votre bonheur. Sinon, vous
pouvez interroger les postes Windows avec la commande:
ipconfig /all | find /i "adresse physique"
Avec un peu d'huile de coude, vous pouvez faire un script qui:
- lance cette commande sur tous les postes du réseau (il faudra que vous
ayez un accès en administrateur pour pouvoir le faire),
- récupère le résultat,
- le compare à l'adresse MAC identifiée comme fautive,
- récupère le nom de l'ordinateur et/ou de l'utilisateur pour une meilleure
identification.
Une solution parmi tant d'autres:
-- scan.cmd
for /f %%m in (machines.txt) do copy audit.cmd %%mc$ & psexec %%m
c:audit.cmd
if not exist c:scans md c:scans
for /f %%m in (machines.txt) do move %%mc$%%m.log c:scans
for /f %%m in (machines.txt) do del %%mc$audit.cmd
copy c:scans*.log reseau.log
-- audit.cmd
echo Ordinateur: %computername% > c:%computername%.log
ipconfig /all | find /i "physi" >> c:%computername%.log
echo.>> c:%computername%.log
Le fichier machines.txt contiendra la liste des machines à scanner, un nom
par ligne (sans les "").
Le programme psexec est un freeware disponible sur www.sysinternals.com.
Tu mets le tout (scan.cmd, audit.cmd, machines.txt et psexec.exe) dans un
même répertoire. Tu lances scan.cmd à partir de ce même répertoire, dans une
session ouverte avec un compte qui a un accès en administrateur à tous les
postes spécifiés dans machines.txt. Le script copiera audit.cmd sur toutes
les machines spécifiées dans machines.txt, lancera l'exécution du script sur
les machines elles-mêmes et récupérera le résultat (sans oublier de faire le
ménage derrière lui).
Si tout se passe bien, à la fin du scan tu récupères dans ce même répertoire
un fichier reseau.log qui est la somme de tous les log récupérés. Ouvre ce
fichier avec un éditeur de texte genre Bloc-notes, fais une recherche sur
l'adresse MAC qui a été identifiée comme fautive. Si elle est présente, tu
auras le nom d'ordinateur avec.
C'est une technique assez "agricole". On pourrait raffiner le process,
préférer utiliser "nbtstat -a" pour scanner les postes sans avoir à passer
par psexec et la copie de fichiers sur le poste, etc. Chaque solution a ses
propres avantages et inconvénients. La solution ci-dessus peut te servir
d'exemple pour d'autres besoins, comme par exemple un scan
antivirus/antispyware (pour peu que les outils en question aient un mode
ligne de commande et permettent de récupérer dans un fichier log les
résultats de leurs investigations).
Jacques
Merci beaucoup pour ces précisions je ne pourrai les tester qu'à mon
"eddy" <samuel.b@libertysurf.fr> a écrit dans le message de news:
44d25c48$0$30134$636a55ce@news.free.fr...
Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
"cette ip n'existe pas chez nous"... Quand vous faites un "ping
192.168.1.254", qu'est-ce que ça donne?
Si ça répond, essayez de localiser le réseau d'où partent les requêtes en
faisant un "tracert 192.168.1.254". Vous pouvez également essayer
d'identifier l'adaptateur réseau qui émet ces requêtes avec "arp -a
192.168.1.254".
Si ça ne répond pas, vous pouvez sans doute identifier l'adresse MAC
émettrice en faisant une capture du réseau avec un outil comme Netmon
(fourni avec Windows) ou Ethereal (freeware).
Muni de l'adresse MAC, vous pouvez faire le tour de vos postes pour
identifier le fautif. Il existe plusieurs méthodes pour connaître l'adresse
MAC de vos postes, cela dépend de la configuration de votre réseau. Si vous
avez des routeurs et des commutateurs réseau qui donnent accès à la liste
des équipements branchés, vous devriez y trouver votre bonheur. Sinon, vous
pouvez interroger les postes Windows avec la commande:
ipconfig /all | find /i "adresse physique"
Avec un peu d'huile de coude, vous pouvez faire un script qui:
- lance cette commande sur tous les postes du réseau (il faudra que vous
ayez un accès en administrateur pour pouvoir le faire),
- récupère le résultat,
- le compare à l'adresse MAC identifiée comme fautive,
- récupère le nom de l'ordinateur et/ou de l'utilisateur pour une meilleure
identification.
Une solution parmi tant d'autres:
-- scan.cmd
for /f %%m in (machines.txt) do copy audit.cmd \%%mc$ & psexec \%%m
c:audit.cmd
if not exist c:scans md c:scans
for /f %%m in (machines.txt) do move \%%mc$%%m.log c:scans
for /f %%m in (machines.txt) do del \%%mc$audit.cmd
copy c:scans*.log reseau.log
-- audit.cmd
echo Ordinateur: %computername% > c:%computername%.log
ipconfig /all | find /i "physi" >> c:%computername%.log
echo.>> c:%computername%.log
Le fichier machines.txt contiendra la liste des machines à scanner, un nom
par ligne (sans les "\").
Le programme psexec est un freeware disponible sur www.sysinternals.com.
Tu mets le tout (scan.cmd, audit.cmd, machines.txt et psexec.exe) dans un
même répertoire. Tu lances scan.cmd à partir de ce même répertoire, dans une
session ouverte avec un compte qui a un accès en administrateur à tous les
postes spécifiés dans machines.txt. Le script copiera audit.cmd sur toutes
les machines spécifiées dans machines.txt, lancera l'exécution du script sur
les machines elles-mêmes et récupérera le résultat (sans oublier de faire le
ménage derrière lui).
Si tout se passe bien, à la fin du scan tu récupères dans ce même répertoire
un fichier reseau.log qui est la somme de tous les log récupérés. Ouvre ce
fichier avec un éditeur de texte genre Bloc-notes, fais une recherche sur
l'adresse MAC qui a été identifiée comme fautive. Si elle est présente, tu
auras le nom d'ordinateur avec.
C'est une technique assez "agricole". On pourrait raffiner le process,
préférer utiliser "nbtstat -a" pour scanner les postes sans avoir à passer
par psexec et la copie de fichiers sur le poste, etc. Chaque solution a ses
propres avantages et inconvénients. La solution ci-dessus peut te servir
d'exemple pour d'autres besoins, comme par exemple un scan
antivirus/antispyware (pour peu que les outils en question aient un mode
ligne de commande et permettent de récupérer dans un fichier log les
résultats de leurs investigations).
Jacques
Merci beaucoup pour ces précisions je ne pourrai les tester qu'à mon
"eddy" a écrit dans le message de news:
44d25c48$0$30134$Bonjour,
Depuis quelques temps, sur notre réseaux d'entreprise, il y une machine ip
source 192.168.1.254 lance une requête en udp sur 255.255.255.255 et
plusieurs machine se mettent à répondre vers 192.168.1.254. Evidemment
cette ip n'existe pas chez nous.
"cette ip n'existe pas chez nous"... Quand vous faites un "ping
192.168.1.254", qu'est-ce que ça donne?
Si ça répond, essayez de localiser le réseau d'où partent les requêtes en
faisant un "tracert 192.168.1.254". Vous pouvez également essayer
d'identifier l'adaptateur réseau qui émet ces requêtes avec "arp -a
192.168.1.254".
Si ça ne répond pas, vous pouvez sans doute identifier l'adresse MAC
émettrice en faisant une capture du réseau avec un outil comme Netmon
(fourni avec Windows) ou Ethereal (freeware).
Muni de l'adresse MAC, vous pouvez faire le tour de vos postes pour
identifier le fautif. Il existe plusieurs méthodes pour connaître l'adresse
MAC de vos postes, cela dépend de la configuration de votre réseau. Si vous
avez des routeurs et des commutateurs réseau qui donnent accès à la liste
des équipements branchés, vous devriez y trouver votre bonheur. Sinon, vous
pouvez interroger les postes Windows avec la commande:
ipconfig /all | find /i "adresse physique"
Avec un peu d'huile de coude, vous pouvez faire un script qui:
- lance cette commande sur tous les postes du réseau (il faudra que vous
ayez un accès en administrateur pour pouvoir le faire),
- récupère le résultat,
- le compare à l'adresse MAC identifiée comme fautive,
- récupère le nom de l'ordinateur et/ou de l'utilisateur pour une meilleure
identification.
Une solution parmi tant d'autres:
-- scan.cmd
for /f %%m in (machines.txt) do copy audit.cmd %%mc$ & psexec %%m
c:audit.cmd
if not exist c:scans md c:scans
for /f %%m in (machines.txt) do move %%mc$%%m.log c:scans
for /f %%m in (machines.txt) do del %%mc$audit.cmd
copy c:scans*.log reseau.log
-- audit.cmd
echo Ordinateur: %computername% > c:%computername%.log
ipconfig /all | find /i "physi" >> c:%computername%.log
echo.>> c:%computername%.log
Le fichier machines.txt contiendra la liste des machines à scanner, un nom
par ligne (sans les "").
Le programme psexec est un freeware disponible sur www.sysinternals.com.
Tu mets le tout (scan.cmd, audit.cmd, machines.txt et psexec.exe) dans un
même répertoire. Tu lances scan.cmd à partir de ce même répertoire, dans une
session ouverte avec un compte qui a un accès en administrateur à tous les
postes spécifiés dans machines.txt. Le script copiera audit.cmd sur toutes
les machines spécifiées dans machines.txt, lancera l'exécution du script sur
les machines elles-mêmes et récupérera le résultat (sans oublier de faire le
ménage derrière lui).
Si tout se passe bien, à la fin du scan tu récupères dans ce même répertoire
un fichier reseau.log qui est la somme de tous les log récupérés. Ouvre ce
fichier avec un éditeur de texte genre Bloc-notes, fais une recherche sur
l'adresse MAC qui a été identifiée comme fautive. Si elle est présente, tu
auras le nom d'ordinateur avec.
C'est une technique assez "agricole". On pourrait raffiner le process,
préférer utiliser "nbtstat -a" pour scanner les postes sans avoir à passer
par psexec et la copie de fichiers sur le poste, etc. Chaque solution a ses
propres avantages et inconvénients. La solution ci-dessus peut te servir
d'exemple pour d'autres besoins, comme par exemple un scan
antivirus/antispyware (pour peu que les outils en question aient un mode
ligne de commande et permettent de récupérer dans un fichier log les
résultats de leurs investigations).
Jacques
Merci beaucoup pour ces précisions je ne pourrai les tester qu'à mon
