bagaimana cara mencari tahu apa yang membuat file?

12

Saya memiliki beberapa file virus yang dibuat secara acak di root ac: disk dari salah satu server saya. Bagaimana saya bisa mengetahui apa yang membuatnya? Beberapa perangkat lunak pihak ke-3 mungkin?

Boris Vezmar
sumber

Jawaban:

10

Lihat tab "Pemilik" di bawah properti "Advanced" pada halaman properti "Security" pada lembar properti file. Namun, kemungkinannya bagus, Anda akan melihat "Administrator" sebagai pemilik (yang tidak akan terlalu membantu).

Fungsionalitas audit di Windows dapat membantu dengan hal seperti ini, tetapi menghasilkan volume besar data yang tampaknya tidak berguna sehingga secara praktis tidak layak.

Evan Anderson
sumber
pemilik adalah tamu! :) saya tidak tahu bagaimana hal tamu itu kehilangan perhatian saya! Sekarang saya tahu beberapa komputer lain dari jaringan "membom" server saya. Terima kasih!
Boris Vezmar
Lebih baik akun Tamu itu dikunci dan verifikasi bahwa mereka belum melakukan hal-hal buruk pada mesin Anda. Jika mereka membuat file di direktori root, Anda mungkin memiliki masalah serius.
Evan Anderson
mereka mendorong virus conficker ke server saya, tetapi tidak dapat menyebar di tempat lain. Saya menemukan semua sisa-sisa conficker dan menghapus semuanya. terima kasih
Boris Vezmar
3

Mari kita asumsikan sejenak bahwa apa pun yang membuat file-file ini tidak berbahaya:

  • Anda dapat melihat pemilik untuk melihat apa yang pengguna buat file
  • Kemudian gunakan sesuatu seperti Sysinternals Process Explorer untuk melihat proses yang berjalan di bawah pengguna itu (Klik kanan kolom dan centang "Nama Pengguna" pada tab "Gambar Proses"
  • Kemudian lihat gagang yang dimiliki masing-masing proses ini (Goto View Menu, Centang "Show Low Pane, Ubah" Lower Pane View "menjadi" Handles "), salah satunya mungkin memiliki pegangan yang terbuka ke file aneh yang Anda lihat

Namun, jika apa pun yang membuat file-file ini berbahaya, itu akan mengambil langkah-langkah untuk menggagalkan Anda. (Menyembunyikan file, menyembunyikan proses, kebingungan, dll.)

Anda dapat menggunakan beberapa utilitas di sini untuk memeriksa rootkit: Daftar alat deteksi dan penghapusan rootkit Windows

Tetapi jika server telah dimiliki, Anda tahu itu sudah dimiliki, dan Anda tidak tahu bagaimana mereka masuk: Saatnya untuk mulai membangun kembali dan mengaktifkan rencana respons insiden yang mungkin Anda miliki.

Bob
sumber
Ya, jawaban Anda adalah langkah logis berikutnya setelah apa yang disarankan Evan Anderson, dan itu solusi untuk kasus ini!
Boris Vezmar
2

Anda juga dapat menggunakan FileMon untuk Windows, untuk mencatat Waktu dan Memproses penulisan file. Setelah Anda melakukannya, lacak proses menggunakan nestat -ao dan cari PID dari proses yang menulis file. Dari sini temukan Alamat IP yang membuat koneksi ke server Anda dan lanjutkan penyelidikan atau MENYANGKAL koneksi jika Anda menggunakan Windows Built-in Firewall.

Tautan ke FileMon untuk Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
sumber
FileMon diganti dengan ini technet.microsoft.com/en-us/sysinternals/bb896645
charles
2

PA File Sight dapat membantu Anda di sana. Anda dapat mengatur monitor untuk menonton file yang dibuat di C: \ Aplikasi dapat mencatat waktu pembuatan, proses yang digunakan (dengan asumsi itu adalah proses lokal) dan akun yang digunakan. Itu dapat mencatat data itu ke file log, database, dan / atau mengingatkan Anda secara real time.

Ini adalah produk komersial, tetapi memiliki uji coba 30 hari yang berfungsi penuh yang akan bekerja untuk Anda.

Pengungkapan penuh: Saya bekerja untuk perusahaan yang membuat PA File Sight.

DougN
sumber
HMMM, perangkat lunak yang sangat menarik! Saya akan mencobanya :)
Boris Vezmar
0

sedikit lebih banyak detail akan membantu; Versi Windows, nama file, teks atau biner? Bisakah mereka diganti namanya / dihapus atau mereka terkunci digunakan? Banyak kali ini akan menunjuk pada apa program ligit menambahkan file. Anda dapat menjalankan strings.exe dan mencari petunjuk jika ini adalah file biner.

Jika ini merupakan drive NTFS, Anda dapat memeriksa tab keamanan dan di bawah lanjutan / pemilik, untuk melihat siapa yang membuat. Proses explorer dari sysinternals.com juga akan memberikan petunjuk.


sumber