Discussion :

[hdgetnet]

Bonjour

Je souhaite avoir de l'aide pour implementer un script python afin de connaitre l'adresse ip ou le nom du client qui se connecte à l'aide de l'outil bureau à distance de win7

mon but est de connaitre qui seconnecte au PC partagé durant une période de fonctionnement du PC (1/2 J ou journée entier)

Merci de votre support

[killian68]

Bonjour,

une petite idée derrière la tête, créez sur votre poste un petit serveur python qui ecoute le port utilisé par la connexion bureau a distance, et loguez dans un fichier ce que le serveur voit passer.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
import socket
 
#creation du socket
serversocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
 
#liaison avec le port a ecouter
serversocket.bind((socket.gethostname(), <portutilisépourlaconnexionbureauadistance>))
 
#mettre en file 5 clients, à ajuste selon les besoins
serversocket.listen(5)
 
#création fichier log
logfile = open('logfile.txt', 'a')
 
while True:
 
    # etablissement de la connexion
    clientsocket,addr = serversocket.accept()
 
    #ecriture dans la log
    logfile.write('Connexion depuis %s ' % str(addr)) 
 
    #fermeture de la connexion client
    clientsocket.close()
 
#fermeture de la log
logfile.close()

Je n'ai pas testé mais, il me semble que cela devrait fonctionner

[BufferBob]

une petite idée derrière la tête, créez sur votre poste un petit serveur python qui ecoute le port utilisé par la connexion bureau a distance, et loguez dans un fichier ce que le serveur voit passer.

mais si on en est là, le mieux serait encore d'utiliser les logs tout faits de Windows (cf l'observateur d'évènements, oui c'est un peu complexe, oui c'est très mal documenté, mais c'est assez puissant et on peut auditer presque tout avec)

sinon l'idée de faire un proxy à mon avis ne fonctionnera pas dans la mesure où une partie du trafic est chiffrée (man in the middle detected !)

reste la possibilité -médiocre/peu efficace- de checker régulièrement à la manière de netstat les connexions sur un port spécifique pour voir qui se connecte

ah si, si le firewall (Windows) est enclenché on peut le configurer pour qu'il sorte un log au format texte, mais pareil c'est très laid à mon sens

[killian68]

[...]

sinon l'idée de faire un proxy à mon avis ne fonctionnera pas dans la mesure où une partie du trafic est chiffrée (man in the middle detected !)
[...]

Peut etre, mais l'idée n'étant pas de lire quoi que ce soit, mais juste de "voir passer la connexion" je ne sais pas si cela aurait un impact.

Sinon, l'idée d'avoir un script qui va lire toutes les 5 minutes par exemple les logs windows pour en extraire les infos de connexion propres aux connexions rdp, en effet, ça peut clairement le faire. Bons faudrait certainement tâtonner pas mal pour que cela ne soit pas trop ou trop peu verbeux, mais c'est certainement une bonne piste

[BufferBob]

Peut etre, mais l'idée n'étant pas de lire quoi que ce soit, mais juste de "voir passer la connexion" je ne sais pas si cela aurait un impact.

sauf que "voir passer les connexions" concrètement ça veut dire un sniffer réseau, ça nécessite les droits d'admin et ça se fait pas à coup de listen(), sinon tu fais pas que voir les paquets tu cherches à les traiter également (puisque tu acceptes les connexions)

sinon avec le module psutil je ferai un truc comme ça perso :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# -*- coding: utf-8 -*-
import psutil, time
 
RDP_PORT = 3389
 
def check()
   l = []
   for i in psutil.net_connections(kind='inet'):
      try:
         if i.laddr[1] == RDP_PORT:
            l.append(i.raddr)
      except:
         pass
   return l
 
while True:
   for hote,port in check():
      print '{}:{} connecté sur le port {}'.format(hote,port,RDP_PORT)
   time.Sleep(1)

[killian68]

sauf que "voir passer les connexions" concrètement ça veut dire un sniffer réseau, ça nécessite les droits d'admin et ça se fait pas à coup de listen(), sinon tu fais pas que voir les paquets tu cherches à les traiter également (puisque tu acceptes les connexions)

En effet, très juste...
Merci pour les précisions en tout cas.

[hdgetnet]

merci à tous

j'ai pu mettre en place le script