Challenge forensic EPITA
EC2
SRS DNRED EPITA

Vin Dows

ap10, Niout, ronfl3x, midugh, Gryfman, Froge4s

← Vin Dows · vin dos / don network

vin dos

LOGS WINDOWS

Plusieurs services de Vin Concept s'arrêtent de manière inopinée, perdus, l'équipe en charge de la surveillance de l'infrastructure demande a des experts en forensic de leur venir en aide. Ils ont quand même remarqué que ces derniers étaient arrêtés le 03 novembre vers 18h.

De multiple coupures de services surviennent depuis quelques semaines dans nos systèmes, enquêtez sur le sujet.

Cote 11 pts

Téléchargements

Attention : les contenus téléchargeables peuvent contenir du contenu malveillant.
logs.tar.gz Taille : 3041,89 kio b2sum : 0474b32dcc914dc93031f7cd458a3b6be1985dd2c85e53905415e6040bd0ebf2bae972e46ea77cd0462c1594ce478973d13e0f9a22ebb6de13ab56b8da682545

Faire son rapport

Analyse des journaux Windows / Linux

L'objectif de cet exercice est, à partir de l'heure connue d'arrêt des services (18:05), de remonter dans les journaux afin d'identifier l'arrêt initial de ces services. Il convient ensuite de vérifier qu'ils ne sont pas relancés immédiatement après l'arrêt.

WSUS Système

Dans ce fichier, le compte qui est à l'origine de nombreux redémarrages s'appelle WSUS, ce qui est également le nom de l'ordinateur.

ordinateur Wsus

En remontant les journaux, nous trouvons l'arrêt de ce service, sans redémarrage immédiat :

Wsus Stop

Cela correspond donc au premier service identifié.

AD Système

Dans ce fichier, il n'y a rien d'intéressant ; les informations pertinentes se trouvent dans le fichier de logs du site web.

Système de fichier

Dans ce fichier, le nom de l'ordinateur est file-winserver0, ce qui permet de déduire qu'il s'agit du service "File".

Nous observons également l'arrêt du service :

File Stop

Cela fournit le deuxième service identifié.

IIS_*

Il s'agit manifestement des journaux d'un site web. Nous constatons une coupure dans ces journaux, signe d'une interruption du service :

2025-11-03 18:19:32 10.0.10.124 POST / - 80 - 20.55.36.223 curl/7.88.1 https://www.instagram.com/ 200 0 0 392
2025-11-03 18:19:01 10.0.10.33 GET /models variant=eco 80 - 10.0.10.32 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/116.0.0.0+Safari/537.36 - 200 0 0 421
2025-11-03 18:19:06 10.0.10.124 GET /models/orion - 80 - 202.157.216.61 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:116.0)+Gecko/20100101+Firefox/116.0 - 403 0 0 191
2025-11-03 18:19:05 10.0.10.124 GET /models - 80 - 139.71.141.70 curl/7.88.1 https://www.vinconcept.fr/ 200 0 0 344
2025-11-03 18:19:58 10.0.10.124 POST /models/lynx - 80 - 20.149.111.11 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:116.0)+Gecko/20100101+Firefox/116.0 - 200 0 0 477
2025-11-03 18:19:08 10.0.10.124 GET /gallery - 80 - 201.29.68.188 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+13_5)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/16.4+Safari/605.1.15 https://www.vinconcept.fr/ 200 0 0 589
2025-11-03 18:19:56 10.0.10.124 GET /models variant=lux 80 - 192.19.248.133 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:116.0)+Gecko/20100101+Firefox/116.0 - 302 0 0 463
2025-11-03 18:19:31 10.0.10.124 OPTIONS /robots.txt - 80 - 1.75.43.10 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+13_5)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/16.4+Safari/605.1.15 - 200 0 0 0
2025-11-03 18:19:16 10.0.10.124 GET / - 80 - 30.226.21.147 Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/116.0.0.0+Safari/537.36 http://example.com/auto-review 302 0 0 376
2025-11-03 18:20:22 10.0.10.124 GET /models - 80 - 151.171.231.19 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/117.0.0.0+Safari/537.36 https://www.instagram.com/ 200 0 0 25
--- CUT ---
#Software: Microsoft Internet Information Services 10.0
#Version: 1.0
#Date: 2025-11-04 04:41:59
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2025-11-04 04:41:59 10.0.10.124 GET /sitemap.xml - 80 - 42.214.195.175 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+13_5)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/16.4+Safari/605.1.15 - 500 13 8 142
2025-11-04 04:42:27 10.0.10.124 GET /robots.txt - 80 - 158.240.100.187 curl/7.88.1 https://www.instagram.com/ 200 0 0 49
2025-11-04 04:42:13 10.0.10.124 HEAD / - 80 - 1.109.206.47 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:116.0)+Gecko/20100101+Firefox/116.0 - 200 0 0 237
2025-11-04 04:42:02 10.0.10.33 GET / - 80 - 10.0.10.42 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/116.0.0.0+Safari/537.36 - 200 0 0 418
2025-11-04 04:42:13 10.0.10.124 HEAD / - 80 - 215.120.70.178 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:116.0)+Gecko/20100101+Firefox/116.0 - 200 0 0 38
2025-11-04 04:43:34 10.0.10.124 GET /gallery - 80 - 245.192.19.80 Mozilla/5.0+(iPhone;+CPU+iPhone+OS+16_0+like+Mac+OS+X)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/16.0+Mobile/15E148+Safari/604.1 - 500 0 5 86

Cela correspond au troisième et dernier service, à savoir le site web.