como descobrir o que criou um arquivo?

12

Tenho alguns arquivos de vírus sendo criados aleatoriamente na raiz do ac: disk de um dos meus servidores. Como posso descobrir o que o criou? Algum software de terceiros, talvez?

Boris Vezmar
fonte

Respostas:

10

Dê uma olhada na guia "Proprietário", nas propriedades "Avançadas" da página de propriedades "Segurança" da folha de propriedades do arquivo. As probabilidades são boas, porém, de que você verá "Administradores" como o proprietário (o que não será muito útil).

A funcionalidade de auditoria no Windows pode ajudar com esse tipo de coisa, mas gera volumes tão grandes de dados aparentemente inúteis que, na prática, não vale a pena.

Evan Anderson
fonte
proprietário é convidado! :) Eu não sei como essa coisa de convidado tinha perdido minha atenção! Agora eu sei que algum outro computador da rede está "bombardeando" meu servidor. Obrigado!
Boris Vezmar 5/06/2009
Melhor a conta de Convidado bloqueada e verifique se eles não fizeram coisas desagradáveis ​​em sua máquina. Se eles estão criando arquivos no diretório raiz, você pode ter uma grande bagunça em suas mãos.
Evan Anderson
eles empurraram o vírus conficker para o meu servidor, mas não pôde se espalhar para nenhum outro lugar. Encontrei todos os restos de conficker e removi tudo. obrigado
Boris Vezmar 08/06/09
3

Vamos supor por um segundo que o que está criando esses arquivos não é malicioso:

  • Você pode olhar para o proprietário para ver qual usuário criou os arquivos
  • Em seguida, use algo como o Sysinternals Process Explorer para exibir os processos em execução nesse usuário (clique com o botão direito do mouse nas colunas e marque "Nome do usuário" na guia "Imagem do processo"
  • Em seguida, observe as alças que cada um desses processos possui (Vá para o menu Exibir, marque "Mostrar painel baixo, altere" Visualização do painel inferior "para" Alças "). Um deles pode ter uma alça aberta para os arquivos estranhos que você está vendo

No entanto, se o que estiver criando esses arquivos for malicioso, serão tomadas medidas para frustrá-lo. (Ocultar arquivos, ocultar processos, ofuscação etc.)

Você pode usar alguns dos utilitários aqui para verificar rootkits: Uma lista de ferramentas de detecção e remoção de rootkits do Windows

Mas se o servidor pertence, você sabe que ele pertence e não sabe como eles entraram: é hora de começar a reconstruí-lo e ativar qualquer plano de resposta a incidentes que você possa ter.

Prumo
fonte
Sim, sua resposta é o próximo passo lógico após o que Evan Anderson sugeriu, e é a solução para este caso!
Boris Vezmar 08/06/09
2

Você também pode utilizar o FileMon for Windows, para registrar o Tempo e o Processo em que a gravação do arquivo foi confirmada. Depois de fazer isso, localize o processo usando o nestat -ao e procure o PID do processo que gravou o arquivo. A partir daqui, encontre o Endereço IP que está fazendo a conexão com o servidor e continue a investigação ou NEGE a conexão se você estiver usando o Firewall Interno do Windows.

Link para o FileMon para Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
fonte
O FileMon é substituído por este technet.microsoft.com/en-us/sysinternals/bb896645
charles
2

O PA File Sight pode ajudá-lo lá. Você pode configurar um monitor para assistir à criação de arquivos em C: \ O aplicativo pode registrar o horário de criação, o processo usado (supondo que seja um processo local) e a conta usada. Ele pode registrar esses dados em um arquivo de log, banco de dados e / ou alertá-lo em tempo real.

É um produto comercial, mas possui uma avaliação de 30 dias totalmente funcional que funcionaria para você.

Divulgação completa: trabalho para a empresa que criou o PA File Sight.

DougN
fonte
HMMM, software muito interessante! Vou dar-lhe uma tentativa :)
Boris Vezmar
0

um pouco mais de detalhes ajudariam; Versão do Windows, nome do (s) arquivo (s), texto ou binário? Eles podem ser renomeados / excluídos ou estão bloqueados em uso? Muitas vezes, isso apontará para qual programa ligit adicionou o arquivo. Você pode executar o strings.exe e procurar pistas, se for um arquivo binário.

Se for uma unidade NTFS, você pode verificar a guia de segurança e em avançado / proprietário para ver quem criou. O Process Explorer do sysinternals.com também fornecerá pistas.


fonte