<div dir="ltr">Bonsoir,<br><br><br><div class="gmail_extra"><br><div class="gmail_quote">Le 21 septembre 2015 20:27, Pascal Hambourg <span dir="ltr"><<a href="mailto:pascal@plouf.fr.eu.org" target="_blank">pascal@plouf.fr.eu.org</a>></span> a écrit :<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Christophe VANHOUTTE a écrit :<br>
> Sur mon petit réseau, j'ai des utilisateurs qui changent les DNS par défaut.<br>
> (postes sous windows)<br>
> (ils ont des droits admin) ... ben oui, c'est comme ça à la cazba lol<br>
><br>
> Je voudrais lister mes machines afin de voir les postes danot les DNS ont<br>
> été modifié,<br>
<br>
Si tu as la main sur la machine qui fait office de passerelle, fais une<br>
capture des paquets de requêtes DNS (UDP port destination 53) qui n'est<br>
pas destiné aux adresses des serveurs DNS par défaut. Tu auras les<br>
adresses des postes et des DNS interrogés. Si possible, une petite<br>
redirection des requêtes DNS vers tes serveurs DNS résoudrait le<br>
problème de façon quasi-transparente.<br>
</blockquote></div><br></div><div class="gmail_extra">C'est en passant sur une machine, que j'ai vu ces changements de DNS !!<br></div><div class="gmail_extra">L'ip de la passerelle sur le PC n'a pas été modifiée.<br></div><div class="gmail_extra">Mon proxy à les DNS en dur.<br></div><div class="gmail_extra">Heu normalement si seulement les DNS sont modifiés cela peut donc passer ?<br><br></div><div class="gmail_extra">Normalement tout est logué,  tout se qui passe par mon routage (passerelle)<br></div><div class="gmail_extra">en détail ...<br></div><div class="gmail_extra">Je crois aussi à l'installation d'un programme vérolé car IE affiche un joli<br></div><div class="gmail_extra">message de <span class="">ransomware avec un N° de téléphone !!<br><br></span></div><div class="gmail_extra"><span class="">Je vais bien m' amuser à regarder les logs <br><br></span></div><div class="gmail_extra"><span class="">Christophe<br></span></div><div class="gmail_extra"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>Debian Lenny user 2.6.26/Xorg 7.0.2 & KDE 3.5.10<br><a href="http://www.debian.org" target="_blank">http://www.debian.org</a> # <a href="http://fr.wikipedia.org/wiki/Obsolescence" target="_blank">http://fr.wikipedia.org/wiki/Obsolescence</a><br><a href="https://soutien.laquadrature.net/" target="_blank">https://soutien.laquadrature.net/</a><br><a href="http://gnutux.free.fr" target="_blank">http://gnutux.free.fr</a> # Il faut dire GNU/Linux :) # <a href="http://www.culte.org" target="_blank">www.culte.org</a><br>-- <br>GNU/Linux : May the Force be with you !<br><br></div></div></div>
</div></div>