comment savoir ce qui a créé un fichier?

12

J'ai des fichiers de virus créés aléatoirement à la racine du disque ac: d'un de mes serveurs. Comment puis-je savoir ce qui l'a créé? Un logiciel tiers peut-être?

Boris Vezmar
la source

Réponses:

10

Jetez un œil à l'onglet "Propriétaire" sous les propriétés "Avancées" de la page de propriétés "Sécurité" de la feuille de propriétés du fichier. Les chances sont bonnes, cependant, que vous allez voir "Administrateurs" en tant que propriétaire (ce qui ne sera pas trop utile).

La fonctionnalité d'audit de Windows peut aider avec ce genre de chose, mais elle génère de si gros volumes de données apparemment inutiles que cela ne vaut pratiquement pas la peine.

Evan Anderson
la source
le propriétaire est invité! :) Je ne sais pas comment ce truc d'invité a manqué mon attention! Maintenant, je sais qu'un autre ordinateur du réseau "bombarde" mon serveur. Merci!
Boris Vezmar
Mieux vaut que ce compte invité soit verrouillé et vérifiez qu'il n'a pas fait de choses désagréables à votre machine. S'ils créent des fichiers dans le répertoire racine, vous risquez d'avoir un sérieux problème.
Evan Anderson
ils ont poussé le virus conficker sur mon serveur, mais il ne pouvait pas se propager ailleurs. j'ai trouvé tous les restes de conficker et l'ai retiré tout. merci
Boris Vezmar
3

Supposons une seconde que ce qui crée ces fichiers n'est pas malveillant:

  • Vous pouvez regarder le propriétaire pour voir quel utilisateur a créé les fichiers
  • Utilisez ensuite quelque chose comme Sysinternals Process Explorer pour afficher les processus qui s'exécutent sous cet utilisateur (cliquez avec le bouton droit sur les colonnes et cochez "Nom d'utilisateur" dans l'onglet "Image du processus"
  • Ensuite, regardez les poignées de chacun de ces processus (Aller au menu Affichage, cocher "Afficher le volet inférieur, changer" Affichage du volet inférieur "en" Poignées "), l'un d'eux peut avoir une poignée ouverte pour les fichiers étranges que vous voyez

Cependant, si ce qui crée ces fichiers est malveillant, il prendra des mesures pour vous contrecarrer. (Masquage de fichiers, masquage de processus, obscurcissement, etc.)

Vous pouvez utiliser certains des utilitaires ici pour vérifier les rootkits: Une liste d'outils de détection et de suppression des rootkits Windows

Mais si le serveur appartient, vous savez qu'il appartient et vous ne savez pas comment ils sont entrés: il est temps de commencer à le reconstruire et à activer tout plan de réponse aux incidents que vous pourriez avoir.

Bob
la source
Oui, votre réponse est un peu la prochaine étape logique après ce que Evan Anderson a suggéré, et c'est la solution pour ce cas!
Boris Vezmar
2

Vous pouvez également utiliser FileMon pour Windows pour enregistrer l'heure et le processus d'écriture du fichier. Une fois que vous avez fait cela, recherchez le processus à l'aide de nestat -ao et recherchez le PID du processus qui a écrit le fichier. De là, recherchez l'adresse IP qui établit la connexion à votre serveur et poursuivez l'enquête ou REFUSER la connexion si vous utilisez le pare-feu intégré de Windows.

Lien vers FileMon pour Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
la source
FileMon est remplacé par celui-ci technet.microsoft.com/en-us/sysinternals/bb896645
charles
2

PA File Sight pourrait vous y aider. Vous pouvez configurer un moniteur pour surveiller la création de fichiers dans C: \ L'application peut enregistrer l'heure de création, le processus utilisé (en supposant qu'il s'agit d'un processus local) et le compte utilisé. Il peut enregistrer ces données dans un fichier journal, une base de données et / ou vous alerter en temps réel.

C'est un produit commercial, mais dispose d'un essai de 30 jours entièrement fonctionnel qui fonctionnerait pour vous.

Divulgation complète: je travaille pour la société qui a créé PA File Sight.

DougN
la source
HMMM, logiciel très intéressant! Je vais essayer :)
Boris Vezmar
0

un peu plus de détails aideraient; Version Windows, nom de fichier (s), texte ou binaire? Peuvent-ils être renommés / supprimés ou sont-ils verrouillés en cours d'utilisation? Plusieurs fois, cela indiquera quel programme ligit a ajouté le fichier. Vous pouvez exécuter strings.exe et rechercher des indices s'il s'agit d'un fichier binaire.

Si c'est un lecteur NTFS, vous pouvez vérifier l'onglet de sécurité et sous avancé / propriétaire, pour voir qui a créé. L'explorateur de processus de sysinternals.com donnera également des indices.


la source