Identification attaquant Windows Serveur 2008
Pour info, c'est parfaitement réalisable sous windows. Le task scheduler permet de mettre un trigger sur un event ID, et en lui faisant exécuter qques lignes de powershell pour sortir l'ip des logs ftp et la bloquer sur le firewall... On a alors qqch d'équivalent au fail2ban...
Y'a ça et puis tcpdump sur Linux de base ça dépanne pas mal, tshark si on veut un truc plus touchy ^^
superkikim
30/01/2013, 15h56
J'ai finalement identifié l'IP grâce à WireShark. C'était une brute force sur le FTP par l'IP 173.165.141.129 que j'ai maintenant bloqué. j'ai également écrit sur le site du domaine dont ce host fait partie. Des fois qu'ils ne soient pas au courant.
N'empêche, vive Linux et Fail2ban... Windows, c'est de la daube. Mais ça, on le savait déjà ;-)
superkikim
30/01/2013, 13h58
Bonjour,
j'ia un seveur plesk en Windows Server 2008 R2 sur mon PCC. Depuis quelques jours je subis une bruteforce attack. Malheureusement, dans le journal d'audit de Micro$oft, il n'y a pas l'IP source.... Le champ IP source de l'événement est vide (event ID 4625).
Comment puis-je trouver l'IP en question et mettre un terme à cette attaque ?
netstat -an ne me donne rien de suspect à part une connexion FTP qui pourrait être normale, si qqun est en train de faire un téléchargement sur un des sites.
