Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Windows [игнор отключен] [закрыт для гостей] / Проблема с злодеем, как поимать ? / 13 сообщений из 13, страница 1 из 1
29.03.2012, 10:14
    #37728926
Janex
Janex
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Привет всем.
Проблема токая - есть сервер, на нём прошареныи каталог, в каталоге
апликация и всякие други еи придналежашие фаили ...
Юзера запускают програмку с етои шари.
Но ктото както уже пару раз занялся злодеиством - стёр все екзёшники, dll
и другие фаили ...
Как мне поимать его ?
Какоито монитор поставить чтоб мониторил кто стерает или что делать ?
Както хотелось бы выяснить кто откуда ето делает, мож вирус
гдето какоито (ESET злодеев незаметил) завёлся ...

WBR
Janex
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:18
    #37728939
Anatoly Podgoretsky
Anatoly Podgoretsky
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Аудит на папку
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:20
    #37728943
Anatoly Podgoretsky
Anatoly Podgoretsky
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Поиск вирусов надо сделать с помощью LiveCD
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:22
    #37728946
Akina
Akina
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
1) Раздать правильные права на папки и файлы. С какого хрена у юзеров появилось правл на модификацию исполняемых файлов?
2) Включить аудит. И помнить, что дискового пространства он жрёт немеряно.
3) Установить сетевую корзину. Или перейти на Netware Services - там она имеется ядерно.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:22
    #37728947
Anatoly Podgoretsky
Anatoly Podgoretsky
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
И между вирусом и пользователем нет никакой разницы. Отличить не возможно, кроме UAC
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:24
    #37728952
Damien
Damien
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
EXE и DLL обычно удаляют антивирусы, если находят в них трояны.
Сервисные папки лучше делать доступными только для серверов и админов, а не для всех пользователей.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 10:25
    #37728956
Aristes
Aristes
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
1) Если программа не создает какие либо файлы у себя в корне. Поставить папку только для чтения.
2) Пометить нужные файлы как системные
3) Оштрафовать всех в случае повторения XD
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 11:05
    #37729049
Janex
Janex
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Както чтото пробовал нашёт прав на папку делать, но
чтото неполучилось почемуто, ок буду ешё пробовать ...

Шас во решил поставить аудит на папку - вроде поставил.
Поставил так - юзер Everyone и аудит на "Delete subfolders and files" и "Delete".
Потом стёр один фаил с папки, посмотрел в 'Computer managment/windows logs/security' и
както ничего неувидел чтоб аудит работал, или не там смотрел ?
Или аудитирование гдето ешё надо проактивизировать ?

WBR
Janex
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 11:47
    #37729127
Janex
Janex
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Ешё вот просмотрел шас security аудит и обнаружил что вроде как идёт сканирование портов
из некоторих компов, которые к серверу неимеют никакого отношения.
Вот одна из кучи записеи из security лога:

Код: powershell
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
- System 
  - Provider 
   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 
   EventID 4624 
   Version 0 
   Level 0 
   Task 12544 
   Opcode 0 
   Keywords 0x8020000000000000 
  - TimeCreated 
   [ SystemTime]  2012-03-29T07:26:58.320054600Z 
   EventRecordID 205058 
   Correlation 
  - Execution 
   [ ProcessID]  552 
   [ ThreadID]  4076 
   Channel Security 
   Computer Server-PC 
   Security 
- EventData 
  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-5-7 
  TargetUserName ANONYMOUS LOGON 
  TargetDomainName NT AUTHORITY 
  TargetLogonId 0x839b602 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName ANITA 
  LogonGuid {00000000-0000-0000-0000-000000000000} 
  TransmittedServices - 
  LmPackageName NTLM V1 
  KeyLength 128 
  ProcessId 0x0 
  ProcessName - 
  IpAddress 192.168.13.15 
  IpPort 49520




Вот только непонемю немношко - ктото хочет на сервер залезть или чтото из самого сервера лезит
в наружу к етим компам, а то в логе имеется PID 552, а етот 552 ето lsas.exe (Local Security Authority Process),
проверил его в virustotal.com и ничего плохого про него несказали ...

Серверу адресс 192.168.13.150 и лезит ктото на 192.168.13.15 или ктото ИЗ 192.168.13.15 :(
Лог растёт, IpPort всё время меняется ...

Есть идеи ?


WBR
Janex
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 12:54
    #37729280
Alien99
Alien99
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Janex,
Вирусы гуляют в сети, ставь все фиксы на сервак, настраивай файерволл.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.03.2012, 15:28
    #37729668
БУКВАРЬ!
БУКВАРЬ!
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
Anatoly PodgoretskyАудит на папку
Для начала, БУКВАРЬ!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.04.2012, 04:31
    #37733298
EvAnd
EvAnd
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
JanexНо ктото както уже пару раз занялся злодеиством - стёр все екзёшники, dll
и другие фаили ...
Как мне поимать его ?
Это вирус (червь): "селится" в экзэзшниках (exрire, или как-то так его назвали...). Предположу, что это антивир удалил все файлы, так как не смог их вылечить (возможно, по расписанию сканирования...)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.04.2012, 04:52
    #37733300
EvAnd
EvAnd
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Проблема с злодеем, как поимать ?
http://nbwnews.ru/article.php?id_article=722
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Windows [игнор отключен] [закрыт для гостей] / Проблема с злодеем, как поимать ? / 13 сообщений из 13, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 397ms
Закрыть
start [/forum/topic.php?fid=26&mobile=1&tid=1496933]:
 0ms
get settings:
 5ms
get forum list:
 9ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 140ms
get topic data:
 6ms
get forum data:
 1ms
get page messages:
 27ms
get tp. blocked users:
 1ms
others: 204ms
total:  397ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]