Bruteforce et tentative de connexion RDP

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Bruteforce et tentative de connexion RDP

par sbx59 »

Bonjour,

sur une serveur RDP, j'ai plusieurs PC qui essaye par brut force le mot de passe admin.

J'ai le FRST de l'un des postes.

voici :

shortcut: https://pjjoint.malekal.com/files.php?i ... y8p510k6b6
addition: https://pjjoint.malekal.com/files.php?i ... 12u10k13k7
frst : https://pjjoint.malekal.com/files.php?i ... l6p15y12n5

merci de votre aide
Malekal_morte
Messages : 107807
Inscription : 10 sept. 2005 13:57

Re: Bruteforce et tentative de connextion RDS

par Malekal_morte »

Salut,

Rien d'anormal.
Le moniteur de ressources systèmes permet de lister les connexions établies avec le PID.
=> https://www.malekal.com/le-moniteur-de- ... e-windows/
Ca peut permettre de trouver le processus qui effectue les connexions vers le serveur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDS

par sbx59 »

Ok.

sur le client, c'est systeme ( PID 4 )qui envoi des requetes sur le serveur mais il envoi ceci

Code : Tout sélectionner

Échec d’ouverture de session d’un compte.

Sujet :
	ID de sécurité :		NULL SID
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Compte pour lequel l’ouverture de session a échoué :
	ID de sécurité :		NULL SID
	Nom du compte :		admin
	Domaine du compte :		DESKTOP-B5S17KJ

Informations sur l’échec :
	Raison de l’échec :		Nom d’utilisateur inconnu ou mot de passe incorrect.
	État :			0xc000006d
	Sous-état :		0xc0000064

Informations sur le processus :
	ID du processus de l’appelant :	0x0
	Nom du processus de l’appelant :	-

Informations sur le réseau :
	Nom de la station de travail :	DESKTOP-B5S17KJ
	Adresse du réseau source :	100.126.127.253
	Port source :		52832

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de clé :		0

Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.

Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
du coup le serveur est bruteforce avec quelque chose ... car il tente admin, root, ... etc ...
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDS

par sbx59 »

Il envoi 8 requêtes a la seconde !
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDS

par sbx59 »

voila ... :(
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 107807
Inscription : 10 sept. 2005 13:57

Re: Bruteforce et tentative de connextion RDP

par Malekal_morte »

ok donc serveur RDP et pas RDS.
Sinon ça donne pas trop d'infos.

En tout cas, je ne vois rien d'anormal sur les rapports.
Tu as lancé un scan complet ESET ?

Faudrait faire des tests.
Est-ce que ça cela s'arrête si la session utilisateur est fermé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDP

par sbx59 »

Oui, Eset ne trouve rien. Malwarebytes Anti-Malware (MBAM) et AdwCleaner non plus ...
si la session utilisateur s'arette, plus aucune connextion sur le serveur. ( l'utilisateur ne contact pas le serveur par contre. ( enfin l'utilisateur non, l'ordinateur tout seul oui) )
Malekal_morte
Messages : 107807
Inscription : 10 sept. 2005 13:57

Re: Bruteforce et tentative de connextion RDP

par Malekal_morte »

AdwCleaner n'est pas utile pour ce type de problème, il vise les adwares.

Ca déclenche dès l'ouverture de la session avec rien de lancé ?
Si tu créés une nouvelle session, ça donne quoi dessus ?

Sinon :
Essaye de couper les processus un par un.
Essaye le scan VirusTotal sur Process Explorer et Autoruns : https://www.malekal.com/ordinateur-hacke-pirate/
Peut-être que GlassWire peut aider à trouver la source : https://www.malekal.com/glasswire-pare-feu/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDP

par sbx59 »

J'ai déjà un pare-feu ( fortinet ) qui me dit que ça serais du SMB ...
Malekal_morte
Messages : 107807
Inscription : 10 sept. 2005 13:57

Re: Bruteforce et tentative de connextion RDP

par Malekal_morte »

Ca va sur quel port les connexions ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDP

par sbx59 »

port : 445
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDP

par sbx59 »

les liens sont mort pour : Process Explorer
Malekal_morte
Messages : 107807
Inscription : 10 sept. 2005 13:57

Re: Bruteforce et tentative de connexion RDP

par Malekal_morte »

On parle bien de ce que tu vois dans le moniteur de ressources ?

Si c'est bien le port 445, donc rien à voir avec du RDP...
C'est bien du SMB donc partage de fichiers.
Donc une application qui tente d'aller sur un partage réseau vers ce serveur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connextion RDP

par sbx59 »

Pourtant il n'y a aucun partage, c'est etrange.

En effet, mais c'est requetes sont faite vers un serveur RDP
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
sbx59
Messages : 91
Inscription : 21 avr. 2012 13:27

Re: Bruteforce et tentative de connexion RDP

par sbx59 »

sur le moniteur de ressource il sont grisé.
voila ce que j'ai sur mon firewall.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »