ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Windows [игнор отключен] [закрыт для гостей] / Проблема с злодеем, как поимать ?
13 сообщений из 13, страница 1 из 1
Проблема с злодеем, как поимать ?
    #37728926
Janex
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Janex
Участник
Привет всем.
Проблема токая - есть сервер, на нём прошареныи каталог, в каталоге
апликация и всякие други еи придналежашие фаили ...
Юзера запускают програмку с етои шари.
Но ктото както уже пару раз занялся злодеиством - стёр все екзёшники, dll
и другие фаили ...
Как мне поимать его ?
Какоито монитор поставить чтоб мониторил кто стерает или что делать ?
Както хотелось бы выяснить кто откуда ето делает, мож вирус
гдето какоито (ESET злодеев незаметил) завёлся ...

WBR
Janex
...
Рейтинг: 0 / 0
29.03.2012, 10:14
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728939
Фотография Anatoly Podgoretsky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Anatoly Podgoretsky
Участник
Аудит на папку
...
Рейтинг: 0 / 0
29.03.2012, 10:18
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728943
Фотография Anatoly Podgoretsky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Anatoly Podgoretsky
Участник
Поиск вирусов надо сделать с помощью LiveCD
...
Рейтинг: 0 / 0
29.03.2012, 10:20
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728946
Фотография Akina
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Akina
Участник
1) Раздать правильные права на папки и файлы. С какого хрена у юзеров появилось правл на модификацию исполняемых файлов?
2) Включить аудит. И помнить, что дискового пространства он жрёт немеряно.
3) Установить сетевую корзину. Или перейти на Netware Services - там она имеется ядерно.
...
Рейтинг: 0 / 0
29.03.2012, 10:22
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728947
Фотография Anatoly Podgoretsky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Anatoly Podgoretsky
Участник
И между вирусом и пользователем нет никакой разницы. Отличить не возможно, кроме UAC
...
Рейтинг: 0 / 0
29.03.2012, 10:22
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728952
Damien
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Damien
Участник
EXE и DLL обычно удаляют антивирусы, если находят в них трояны.
Сервисные папки лучше делать доступными только для серверов и админов, а не для всех пользователей.
...
Рейтинг: 0 / 0
29.03.2012, 10:24
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37728956
Aristes
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Aristes
Участник
1) Если программа не создает какие либо файлы у себя в корне. Поставить папку только для чтения.
2) Пометить нужные файлы как системные
3) Оштрафовать всех в случае повторения XD
...
Рейтинг: 0 / 0
29.03.2012, 10:25
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37729049
Janex
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Janex
Участник
Както чтото пробовал нашёт прав на папку делать, но
чтото неполучилось почемуто, ок буду ешё пробовать ...

Шас во решил поставить аудит на папку - вроде поставил.
Поставил так - юзер Everyone и аудит на "Delete subfolders and files" и "Delete".
Потом стёр один фаил с папки, посмотрел в 'Computer managment/windows logs/security' и
както ничего неувидел чтоб аудит работал, или не там смотрел ?
Или аудитирование гдето ешё надо проактивизировать ?

WBR
Janex
...
Рейтинг: 0 / 0
29.03.2012, 11:05
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37729127
Janex
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Janex
Участник
Ешё вот просмотрел шас security аудит и обнаружил что вроде как идёт сканирование портов
из некоторих компов, которые к серверу неимеют никакого отношения.
Вот одна из кучи записеи из security лога:

Код: powershell
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
- System 
  - Provider 
   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 
   EventID 4624 
   Version 0 
   Level 0 
   Task 12544 
   Opcode 0 
   Keywords 0x8020000000000000 
  - TimeCreated 
   [ SystemTime]  2012-03-29T07:26:58.320054600Z 
   EventRecordID 205058 
   Correlation 
  - Execution 
   [ ProcessID]  552 
   [ ThreadID]  4076 
   Channel Security 
   Computer Server-PC 
   Security 
- EventData 
  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-5-7 
  TargetUserName ANONYMOUS LOGON 
  TargetDomainName NT AUTHORITY 
  TargetLogonId 0x839b602 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName ANITA 
  LogonGuid {00000000-0000-0000-0000-000000000000} 
  TransmittedServices - 
  LmPackageName NTLM V1 
  KeyLength 128 
  ProcessId 0x0 
  ProcessName - 
  IpAddress 192.168.13.15 
  IpPort 49520




Вот только непонемю немношко - ктото хочет на сервер залезть или чтото из самого сервера лезит
в наружу к етим компам, а то в логе имеется PID 552, а етот 552 ето lsas.exe (Local Security Authority Process),
проверил его в virustotal.com и ничего плохого про него несказали ...

Серверу адресс 192.168.13.150 и лезит ктото на 192.168.13.15 или ктото ИЗ 192.168.13.15 :(
Лог растёт, IpPort всё время меняется ...

Есть идеи ?


WBR
Janex
...
Рейтинг: 0 / 0
29.03.2012, 11:47
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37729280
Alien99
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alien99
Участник
Janex,
Вирусы гуляют в сети, ставь все фиксы на сервак, настраивай файерволл.
...
Рейтинг: 0 / 0
29.03.2012, 12:54
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37729668
БУКВАРЬ!
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
БУКВАРЬ!
Гость
Anatoly PodgoretskyАудит на папку
Для начала, БУКВАРЬ!
...
Рейтинг: 0 / 0
29.03.2012, 15:28
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37733298
EvAnd
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
EvAnd
Участник
JanexНо ктото както уже пару раз занялся злодеиством - стёр все екзёшники, dll
и другие фаили ...
Как мне поимать его ?
Это вирус (червь): "селится" в экзэзшниках (exрire, или как-то так его назвали...). Предположу, что это антивир удалил все файлы, так как не смог их вылечить (возможно, по расписанию сканирования...)
...
Рейтинг: 0 / 0
01.04.2012, 04:31
| Ответить | Цитировать | Написать  
Проблема с злодеем, как поимать ?
    #37733300
EvAnd
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
EvAnd
Участник
http://nbwnews.ru/article.php?id_article=722
...
Рейтинг: 0 / 0
01.04.2012, 04:52
| Ответить | Цитировать | Написать  
13 сообщений из 13, страница 1 из 1
Форумы / Windows [игнор отключен] [закрыт для гостей] / Проблема с злодеем, как поимать ?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=26&msg=37729127&tid=1496933]:
 0ms
get settings:
 7ms
get forum list:
 10ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 52ms
get topic data:
 8ms
get forum data:
 2ms
get page messages:
 36ms
get tp. blocked users:
 1ms
others: 211ms
total:  333ms
созд. / загр.: 333ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]