Saya memiliki beberapa file virus yang dibuat secara acak di root ac: disk dari salah satu server saya. Bagaimana saya bisa mengetahui apa yang membuatnya? Beberapa perangkat lunak pihak ke-3 mungkin?
Saya memiliki beberapa file virus yang dibuat secara acak di root ac: disk dari salah satu server saya. Bagaimana saya bisa mengetahui apa yang membuatnya? Beberapa perangkat lunak pihak ke-3 mungkin?
Jawaban:
Lihat tab "Pemilik" di bawah properti "Advanced" pada halaman properti "Security" pada lembar properti file. Namun, kemungkinannya bagus, Anda akan melihat "Administrator" sebagai pemilik (yang tidak akan terlalu membantu).
Fungsionalitas audit di Windows dapat membantu dengan hal seperti ini, tetapi menghasilkan volume besar data yang tampaknya tidak berguna sehingga secara praktis tidak layak.
Mari kita asumsikan sejenak bahwa apa pun yang membuat file-file ini tidak berbahaya:
Namun, jika apa pun yang membuat file-file ini berbahaya, itu akan mengambil langkah-langkah untuk menggagalkan Anda. (Menyembunyikan file, menyembunyikan proses, kebingungan, dll.)
Anda dapat menggunakan beberapa utilitas di sini untuk memeriksa rootkit: Daftar alat deteksi dan penghapusan rootkit Windows
Tetapi jika server telah dimiliki, Anda tahu itu sudah dimiliki, dan Anda tidak tahu bagaimana mereka masuk: Saatnya untuk mulai membangun kembali dan mengaktifkan rencana respons insiden yang mungkin Anda miliki.
Anda juga dapat menggunakan FileMon untuk Windows, untuk mencatat Waktu dan Memproses penulisan file. Setelah Anda melakukannya, lacak proses menggunakan nestat -ao dan cari PID dari proses yang menulis file. Dari sini temukan Alamat IP yang membuat koneksi ke server Anda dan lanjutkan penyelidikan atau MENYANGKAL koneksi jika Anda menggunakan Windows Built-in Firewall.
Tautan ke FileMon untuk Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
PA File Sight dapat membantu Anda di sana. Anda dapat mengatur monitor untuk menonton file yang dibuat di C: \ Aplikasi dapat mencatat waktu pembuatan, proses yang digunakan (dengan asumsi itu adalah proses lokal) dan akun yang digunakan. Itu dapat mencatat data itu ke file log, database, dan / atau mengingatkan Anda secara real time.
Ini adalah produk komersial, tetapi memiliki uji coba 30 hari yang berfungsi penuh yang akan bekerja untuk Anda.
Pengungkapan penuh: Saya bekerja untuk perusahaan yang membuat PA File Sight.
sedikit lebih banyak detail akan membantu; Versi Windows, nama file, teks atau biner? Bisakah mereka diganti namanya / dihapus atau mereka terkunci digunakan? Banyak kali ini akan menunjuk pada apa program ligit menambahkan file. Anda dapat menjalankan strings.exe dan mencari petunjuk jika ini adalah file biner.
Jika ini merupakan drive NTFS, Anda dapat memeriksa tab keamanan dan di bawah lanjutan / pemilik, untuk melihat siapa yang membuat. Proses explorer dari sysinternals.com juga akan memberikan petunjuk.