hello les amis  
 
Je voudrais avoir votre avis avant de devenir parano et renforcer la securite sur mon reseau. M
Moi je crois au hack car la politique entreprise n est pas bonne et surtous dans l'equipe admin .
tous les admin ont le meme mot de passe pour tous les serveurs. donc on a tous acces a tous et on est 6.
 
Depuis deux mois, j'ai des incidents qui se succedent et je voudrais avoir votre avis et votre experience la dessus .
 
j ai 100 workstation(1) sur un vlan et 50 autre sur un autre vlan (2) et j ai cree un troisieme vlan pour le net avecc une gateway dedant. ( pas de routeurs, que des switch qui sont capable de router).
vlan 1 ne peux pas acceder au vlan2, mais du vlan 2 on peux acceder au vlan1. je pense que dans un futur proche je vais separer les deux vlans 1 et deux pour plus de securiter.
 
il y a deux mois, un matin mi octobre, 8h00 du mat, j arrive, et probleme dans le vlan 1 les bios de 40 workstations ont change au lieu de booter sur le hd, le boot se faisait sur la carte reseau (je nai pas de serveur pour le pxe, le bios est protege par un password),  
le password a  change, dans mon entreprise tout est filme et rien sur les videos (exemple: manip avec disquette ou les utilisateurs faisant un reset eux meme donc rien de rien).  J ai du change aller reset les mots de passe sur chaque post.
 
Deux semaine apres je perd deux serveur linux, sur chacun de meme marque (4 ans carte mere tyan)  avec deux cartes reseaux integre, carte reseau morte, plus moyen d'attribuer une ip on ne la voyait pas sous linux, quand j ai redemarre les deux serveurs, je ne pouvais pas booter sur l os ( redhat ).
La on a decider de les virtualiser bon pas de soucis. ( 6h de downtime pour tous refaire).
 
le 8 decembre a nouveau probleme :
 
le dernier serveur linux fedora  
 
le matin je le redemarre comme d ab, rien au niveau du controleur raid 5 tout est ok, j ai tous mes disks en bon etat.
 
a la fin de la journee
le serveur tombe en panne, clavier bloquer, tous figer. J ai du redemarrer la le serveur m affiche sur le raid 5 :3ware :escalade, raid incomplet sur chaque disque ( pas de deprecated mode), et puis la carte controleur me fait rentrer dans la configuration dur raid, j avais les 4 disques mais pas la config du raid.  
les disques etait tous independant.
on a essayer de remonter le raid et pas moyen de le remonter. les 4 disques dur tournent toujours ( sata). on a decider de verifier les secteurs des disques.
la on constate
 
port 0 : disk 1 secteur 0 bad sectors.
port 1:  disk 2  - 2 bad sectors sur le disque
port 2: disk 3 - pas de secteur defectueux
port 3   disk 4 pas de secteur defectueux
 
on a perdus les donnees,j aurai du mettre une sauvegarte en tenps reel
 
le meme jour sur un autre serveur , sur le DC en windows 2008 entreprise, un disque du raid 5 se met en defaut, se serveur a 1 an. Disque dur SAS.
le disque dur tourne toujours et deviner quoi un seul secteur defectueux. ce serveur ne me cause pas de soucis car l os est sur le raid 1 et les donnees importante sur un raid 5 avec backup tous les soirs.
 
qu est ce que vous en pensez ?
 
je crois que deux serveurs sont vicitmes d'un virus par bios ou bios flasher  ( a cause des cartes resaux) mais tous le reste fonctionne , tous les port disques fonctionne , ram processeur pareil, carte mere.
les serveurs en linux et le dc peut etre n programme qui cause des secteurs defecteux ou on a ete victime de quelqu un qui edite les disques avec un editeur hexadecimal je ne vois que ca.
 
 
qu est ce que l on peux faire de plus pour renforcer la securite et d avoir sur les serveurs linux et windows un backup en temps reel du genre barre de metal ? (a chaud)
 
merci d'avance tous le monde pour vos reponses
je veux repasser de bonne nuit de sommeil.

salut
 
pas de firewall ?

 
sur la gateway : oui au niveau du net.
pas sur les serveurs linux, ni sur les 100 workstation a cause de deux appli maison qui n arrive pas a communiquer.
pas de firewall sur le dc.
 
les 50 autre postes oui.
 
merci pour ta question

si tu soupçonnes un piratage exterieur , tu devrais verifier ton firewall

 
je pense plus a un piratage interne.
j ai verifier le firewall et je ne vois rien. de plus tout est en nat  
 
( tous les postes sont en classe prive avec une translation nat pour le net).
il me semble que l on ne peux pas remonter depuis de l exterieur le nat.
 
merci pour ta reponse

Tu dit que tout est filmé et que vous n'avez rien vu, donc si quelqu'un agit en interne il est au courant qu'il y a des cameras, en pensant que quelqu'un peut très bien installer le virus n'importe quand et programmer un déclenchement, le jour J à l'heure H, tu as des soupçons sur quelqu'un?

 
oui , c est pour ca que je dis: "la politique entreprise n est pas bonne et surtous dans l'equipe admin '.
l indication que je donne c est au niveau de mon reseau. les autres admins ont d autres reseaux mais tous le monde a les meme mot de passe d administrations.
( politique interne et je suis le seul a demander des mots de passe separe mais on me dit si tu part et que l on a pas les mots de passe ect ...)..
 
 
on me dit aussi qu il n y as pas de virus qui creee des secteurs defecteux ....

Il y a des virus (rares) qui peuvent détériorer physiquement un HDD

lequel? tu peux me le donner par email si tu ne veux pas le mettre sur le fofo  
 
moi le seul que je connais c est tcherno mais il ne cause pas de secteur defectueux sur le disque.... comme la central nucleaire ..... et encore je ne sais pas s il se propage par les bios en flashant m en rappelle plus.... mais il est vieux ...
en son temps il avait fait du degat.
 
j ai pas vu de trace et les virus dans le bios c est indetectable apparement  
 
 
merci pour ta reponse.

Tu pense au hack, oui mais pas forcément.
 
Plusieurs autres explications : vibrations, variation du voltage délivré par edf, ou simplement séries de disques à problème.
 
C'est ça d'avoir du SATA sur des serveurs, eu lieu et place de SCSI ou SAS : c'est pas aussi fiable.
Bon tu as quand même eu un problème sur un disque SAS, c'est vrai
 
Pour la série de postes dont le boot order change en série, j'avoue c'est vraiment tordu.
 
 
On ne peut pas créer volontairement de secteurs défectueux sur un disque, on a pas du tout accès au checksum des secteurs, virus ou pas c'est impossible : seul le smart du disque y a accès, hors si tu travaille sur du matos avec des contrôleurs 3ware, ça me paraît compliqué d'aller bricoler le firm du disque à traver ce genre de contrôleur pour porvoquer des erreur.
Pour moi c'est impossible par l'interface SATA, surtout à travers un contrôleur RAID. Peut-être avec un interface série sur les rangées de pins, mais ça s'arrête là.
 
Par contre si les disque ont étés soumis à des contraintes physiques, ça peut, il faut voir comment est agencée la salle serveur.
 
Les secteurs défectueux sont remapés par smart en cas d'incohérence du checksum à la lecture, pas à l'écriture.
 
Moi j'aimerais bien connaître les disques avant de crier au hack : marque, modèle, rpm, n° de série de chaque disque concerné, tous les disques ont le même age, en général ils lâchent en série sur le long terme (d'où l'utilité d'avoir des disques de spare plus récent dans ses raid et de les brasser de temps en temps entre les machines), pour moi tes incidents ont une cause simple : le matos à fini par veillir, c'est la loi des séries   (je sais ce que c'est que d'être traquile un long moment, puis que toute les merdes à base de panne matérielle te tombent dessus en moins de 15j, puis après rebelotte calme plat)
 
 
Si tu veux vraiment renforcer la sécu du matériel pour être sûr : virtulisation des serveurs, et isolation totale de l'hôte.

 
c'est fait pour les serveurs mais on pense aussi si on se choppe quelque chose dans le blade center ca sera catastrophique tous les serveurs y sont et on a qu une blade center hp ... imagine.
genre virus dans le bios... OMG.

Bon, déjà il ne faut pas confondre secteur (disque) et cluster (fs windows, sur les fs unix/linux on dit bloc), c'est horrible ce genre de confusions que fait prendre ouinedoze avec le temps
 
Bon, étant donné la régularité de la qualité de fabrication des disques, j'ai remarqué que ça tombe en panne (secteurs défectueux) à des intervalles proches, même sur des machines isolées du reste du réseau. En tous cas je l'ai toujours vérifié sur des disques de mêmes séries utilisés dans les mêmes conditions)
Truc que les disques détestent, juste après la chaleur : les vibrations, ça use la méca très prématurément.
 
Tu devrais vérifier les seek error (attribut smart 7), pending sectors count (attribut 197) et unrecoverable sectors (198), voir si ces valeurs ont aussi augmenté.
 
 
Après, si vraiment ça vient d'un acte de malveillance, il faudrait commencer par s'inquièter de la confidentialité des données, moi ça me paraît impossible d'occasioner de tel dégâts sur un serveur linux sans être root (à moins d'avoir éventuellement un compte root qui a un . dans $PATH peut être ).
Parceque bon, du code malicieux pour linux c'est bien gentil, mais il faut déjà arriver à l'exécuter.

 
justement tous les admin ont les mots de passe root de tous les serveurs linux puisque c est les memes.
 
merci de m aider
 
 

Ce sujet a été déplacé de la catégorie Hardware vers la categorie Systèmes & Réseaux Pro par DraCuLaX

Je suppose que tu utilises smartctl pour avoir ces valeurs, en fait les valeurs qui nous intéressent sont dans la dernière colone : RAW_VALUE

Est ce que vous êtes certain de la qualité de votre réseau électrique ou de son dimensionnement correct?

Par rapport au piratage interne:
 
Pour ce qui est du controle d'accès il serait bon de se réferer à la loi Sarbanes Oxley (Sox) ou sur la norme ISO 27001.
Sur la norme iso, la norme ISO 17799 est encore plus fine que la 27001:
Plus de détails ici: http://www.guideinformatique.com/f [...] ns-441.htm
 
Si tu es sous un domaine AD, pour la parti windows tu peux déjà mettre en place des solutions simples:
- Les accès administrateurs locaux sur les serveurs restreints à un minimum de personnes (au moins 2). Seules ces personnes connaissent les mdp.
- Pas de compte générique: chaque admin à un compte nominatif avec les droits correspondants à son domaine de compétences.
- Limiter (en nombre de personnes) au minimum l'accès aux controleurs de domaine
- Mettre en place les audits sur les systèmes (seulement lisible depuis le DC)
- Pour le matériel autre: un compte administrateur et des comptes type techniciens (avec les droits accordés aux personnes en fonction de leur domaine d'intervention)
- Créer une Db cryptée des mots de passe administrateur fort accessible uniquement à ces administrateurs.
- ...
 
Limiter les accès aux salles serveurs (les clés ne doivent être disponible que pour certaines personnes).
Sinon mettre en place un système d'accès qui permet d'identifier qui est rentré et à quelle heure (badge, empreinte palmaire, digicode à multicodes...).
Les systèmes de video surveillance ne sont efficace que si il y a des enregistrements externalisés (société de gardiennage par ex). Si les enregistrement se font sur les serveurs, il est facile de les détruire.
 
En gros:  
- 1 personne = 1 identification sur le réseau
- Chaque personne est responsable de son compte: elle doit savoir qu'en cas de problème elle sera responsable si son compte est associé au problème, avec les conséquences que ça entraine (ça évite les: j'ai du donner mon mdp à mon voisin pour qu'il se connecte)
- Limiter les accès et droits en fonction des rôles et responsabilités de chacun
- Auditer au maximum ce qui peut l'être
- Mettre en place une charte informatique, accepté par le CE, expliquant les mesures mises en place et la faire signer par les admin.
Faire valider cette charte aupres de la CNIL.
- limiter et identifier les acces aux equipements
Cette liste n'est pas exhaustive.

je tiens a vous remercier a tous
 
Oui le reseau electrique a ete refait et tous les serveurs sont sous onduleurs avec un temoin de charge, qui est sur chaque a (1/4). de ce cote tous va bien.
malhereusement on a perdu les logs avec la casse.
 
Est ce qu il y a un moyen de centraliser tous les logs des serveur linux/ windows sur un autre serveur ou poste ?
(de meme d etre alerter en cas de probleme materiel ou intrusion).
 
merci pour les liens sur l'iso. Est ce qu il y aurait la meme chose pour la documentation technique des serveurs et reseaux informatique?
les doc c est un peu le foutoir , tous le monde fait des docs word qui vont dans d autre fichier doc, effet cascade... liens casse ... perte des docs ect ...
existe t il une solution pour cela avec de l iso ?
 
 
merci tous le monde thhhhaaannkkkkkssss

Pour les logs Windows, oui c'est possible.
Il y a un outil, DUMPEL, qui permet d'extraire les fichiers de log (avec les arguments tu peux choisir de n'extraire que ce que tu veux).
Tu peux même l'utiliser sur des serveurs distant (mais sur le lan)
 
Les normes iso sont des methodologies pas des outils.
Mais en croisant les methodologies:
- ISO pour la sécurité,
- ITIL pour la production informatique ,
- COBIT (la partie sécurité),
- Sarbane Oxley (qui n'est pas une methodologie et est un peu plus directive, normal c'est une loi. voir la partie informatique) qui parle un peu des deux,
Tu dois pouvoir trouver ce que tu recherches pour avoir quelque chose qui colle aux bonnes pratiques.
Ces methodologies (et plus particulierement ITIL sur la doc) t'expliquent ce qu'il faut organiser. Mais ça n'explique pas toujours comment (mais il y a de bonnes pistes).

pour les log syslog-ng permet de faire un serveur de log.
serveur a blinder au maximum, idéalement tous les ports bloqués sauf de quoi récup les logs, et admin local bref une machines vraiment à part (puisque c'est ici qu'arrive les preuves...)

pour les serveurs linux :
-selinux, c'est en standard préconfiguré maintenant
-hids
-pas de root, mais des comptes poweruser spécifique

un/des nids correctement placé(s)

pour les serveurs win : et bien je connais pas assez!

isole au maximum les réseaux, les machines, les comptes utilisateurs, admins, techs etc...
en gardant toujours à l'esprit : keep it short and simple
plus c'est découpé (proprement bien sur) plus c'est facile à gérer, mais c'est plus long à mettre en place au départ.

d'un point de vue hardware pense à avoir une remonté d'infos, par exemple nagios+centreon
là il y un truc sympa a faire, je commence à peine à tester:
nagios+centreon+glpi+ocs inv
pour monitorer les machines, gerer l'inventaire du parc, et la maintenance, bref la total.

ma modeste contribution
et je parierai pas sur le hack perso, mais sur une mauvaise série
bon courage!

ps:
hids: Host-Based Intrusion Detection System (AIDE par ex)
nids: Network.... (SNORT par ex)

edit: je me demande après coup quelle est la bonne version de la définition de l'acronyme (stupid simple/super simple/short and simple) ? vitale comme question!

J ai regarder au niveau des disque durs
 
pas de defaut de cluster sur le disque 2,3,4
le disque 1 cluster defectueux sur le premier block.
 
j ai aussi pense a un rootkit ou une modification de la mbr, si quelqu un modifie/detruit la mbr
 
je perds la configuration du raid et je ne peux plus remonter le raid,
nous avons essaye de le monte avec un live cd knoppix, on voyait la structure mais on ne pouvait pas y acceder
 
c etait quand meme long de monter les disques dur au moins 5 mn chaque.
apres error input/output en essayant d'acceder au repertoire.
 
Je ne sais pas editer la mbr pour voir ce qu il y a dedant
je sais que sous linux on peut toucher a la mbr avec une commande dd et envoyer des 0 sur toute la mbr  
donc ce la revient a effacer toutes les donnees et adieu raid 5.
 
dans un autre sens on ne peut pas savoir a quelle heure ca ete fait.(edition mbr).

tu peu utiliser dd pour faire une copie de tout ou partie de tes dd, et donc aussi pour récuperer ou restaurer le mbr.

par exemple tu copie le mbr dd if=/dev/sda of=mbr.bin bs=512 count=1
les 446 premier octets c'est le mbr.
le reste la table de partition.
donc pour restaurer un mbr et la table de partition dd if=mbr.bin of=/dev/sdX bs=512 count=1

et donc pour restaurer le mbr sans effacer la table de partition:
dd if=mbr.bin of=/dev/sdX bs=448 count=1

c'est un raid 5 soft linux ? entre les disk 1,2,3,4 ?
sur tout le dd à la sauvage sans table de partition ou sur des partitions (même de la taille de tout le dd) ?

edit: j'ai écris une betise pour la table de partition meaculpa, je corrige ca de suite, en fait c'était bon... j'ai eu un doute.

hello
 
c'est un raid 5 hardware avec un controlleur 3ware. ( avec 4 disques).
je me suis dit:
 
si je perds la mbr , je perds par la meme occasion la configuration de mon raid 5 et les donnees qui sont dessus.
donc comme avec un dd on peut modifier la mbr, je me demande si ce n est pas la mbr qui a ete toucher.  
 
Si quelqu un de malveillant veut que je perds les donnees, et ben tu fait sauter la mbr direct, comme ca
pas de trace. je ne sais pas comment l'editer pour voir si c est ca sur un raid 5.
 
donc avec un dd pas trop dur de faire sauter tes partitions a partir de la mbr:
dd if=/dev/zero of=/dev/sda bs=512 count=1
 
je voudrais savoir comment on fait pour voir une mbr sur un raid 5 ca je ne sais pas .
et savoir la date quand elle a ete modifie.
 
merci pour tous

avec une 3ware je pourrais pas t'aider
 
maintenant si tu as un disque en rab tu devrais essayer de reconstruire ton raid comme les 3 autres disques sont ok