[Linux-31] DNS modifies par utilisateurs !!

[Christophe VANHOUTTE]

Bonsoir,



Le 21 septembre 2015 20:27, Pascal Hambourg <pascal at plouf.fr.eu.org> a
écrit :

> Christophe VANHOUTTE a écrit :
> > Sur mon petit réseau, j'ai des utilisateurs qui changent les DNS par
> défaut.
> > (postes sous windows)
> > (ils ont des droits admin) ... ben oui, c'est comme ça à la cazba lol
> >
> > Je voudrais lister mes machines afin de voir les postes danot les DNS ont
> > été modifié,
>
> Si tu as la main sur la machine qui fait office de passerelle, fais une
> capture des paquets de requêtes DNS (UDP port destination 53) qui n'est
> pas destiné aux adresses des serveurs DNS par défaut. Tu auras les
> adresses des postes et des DNS interrogés. Si possible, une petite
> redirection des requêtes DNS vers tes serveurs DNS résoudrait le
> problème de façon quasi-transparente.
>

C'est en passant sur une machine, que j'ai vu ces changements de DNS !!
L'ip de la passerelle sur le PC n'a pas été modifiée.
Mon proxy à les DNS en dur.
Heu normalement si seulement les DNS sont modifiés cela peut donc passer ?

Normalement tout est logué,  tout se qui passe par mon routage (passerelle)
en détail ...
Je crois aussi à l'installation d'un programme vérolé car IE affiche un joli
message de ransomware avec un N° de téléphone !!

Je vais bien m' amuser à regarder les logs

Christophe

-- 
Debian Lenny user 2.6.26/Xorg 7.0.2 & KDE 3.5.10
http://www.debian.org # http://fr.wikipedia.org/wiki/Obsolescence
https://soutien.laquadrature.net/
http://gnutux.free.fr # Il faut dire GNU/Linux :) # www.culte.org
-- 
GNU/Linux : May the Force be with you !
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://culte.org/pipermail/linux-31/attachments/20150921/c3621180/attachment.html>