У мене кілька випадкових файлів вірусів створюються на корені ac: диск одного з моїх серверів. Як я можу дізнатися, що це створило? Можливо, якесь програмне забезпечення сторонніх виробників?
У мене кілька випадкових файлів вірусів створюються на корені ac: диск одного з моїх серверів. Як я можу дізнатися, що це створило? Можливо, якесь програмне забезпечення сторонніх виробників?
Відповіді:
Подивіться на вкладку "Власник" у розділі "Розширені" властивості сторінки "Захист" на аркуші властивостей файлу. Однак шанси хороші тим, що ви будете бачити "Адміністраторів" як власника (що не буде надто корисним).
Функціонал аудиту в Windows може допомогти у подібній справі, але він генерує такі великі обсяги, здавалося б, марних даних, що цього, практично кажучи, не варто.
Припустимо на секунду, що те, що коли-небудь створює ці файли, не є шкідливим:
Однак якщо все, що створює ці файли, є шкідливим, воно вживе заходів, щоб зірвати вас. (Приховування файлів, приховування процесу, притуплення тощо)
Тут можна скористатися деякими утилітами, щоб перевірити наявність руткітів: Список інструментів виявлення та видалення руткітів Windows
Але якщо він належить цьому серверу, ви знаєте, що ним належить, і ви не знаєте, як вони потрапили. Пора почати його перебудовувати та активувати будь-який план реагування на інциденти, який у вас може бути.
Ви також можете використовувати FileMon для Windows, щоб записати час і обробляти запис файлу. Як тільки ви це зробите, відслідковуйте процес, використовуючи nestat -ao, і шукайте PID процесу, який записав файл. Звідси знайдіть IP-адресу, яка встановлює з'єднання з вашим сервером, і продовжте розслідування або ЗАБЕЗПЕЧУЙТЕ з'єднання, якщо ви використовуєте вбудований брандмауер Windows.
Посилання на FileMon для Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight може допомогти вам там. Ви можете налаштувати монітор для перегляду створених файлів у C: \ Додаток може записувати час створення, використовуваний процес (якщо припустити, що це локальний процес) та використовуваний обліковий запис. Він може записати ці дані у файл журналу, базу даних та / або попередити вас у режимі реального часу.
Це комерційний продукт, але має повністю функціональну 30-денну пробну версію, яка б працювала для вас.
Повне розкриття: Я працюю в компанії, яка створила PA File Sight.
трохи більше деталей допоможе; Версія Windows, назва файлу (файлів), текстового чи двійкового? Чи можна їх перейменувати / видалити чи заблоковано у використанні? Багато разів це вказуватиме на те, що програма ligit додала файл. Ви можете запустити strings.exe і шукати підказки, якщо це двійковий файл.
Якщо це привід NTFS, ви можете перевірити вкладку безпеки та в розділі Advanced / owner, щоб побачити, хто створив. Провідник процесів від sysinternals.com також дасть підказки.