J'ai des fichiers de virus créés au hasard sur la racine d'un disque C: Disque d'un de mes serveurs. Comment puis-je savoir ce qui l'a créé? Quelques logiciels tiers peut-être?
Regardez l'onglet "Propriétaire" sous les propriétés "Avancé" de la page Propriétés "Security" de la feuille de propriétés du fichier. Les chances sont bonnes, cependant, que vous allez voir des "administrateurs" comme le propriétaire (qui ne sera pas trop utile).
La fonctionnalité d'audit dans Windows peut aider à ce type de chose, mais elle génère de tels volumes de données apparemment inutiles que c'est pratiquement en vaut la peine.
Supposons une seconde que ce qui crée ces fichiers n'est pas malveillant:
Cependant, si tout ce qui crée ces fichiers est malveillant, il prendra des mesures pour vous contrecarrer. (Cachée de fichiers, cachette de processus, obfuscation, etc.)
Vous pouvez utiliser certains des utilitaires ici pour rechercher des rootkits: ne liste des outils de détection et de suppression de Windows Rootkit
mais si le serveur est appartenant à la propriété, vous savez que cela s'appelait et que vous ne savez pas comment ils ont eu lieu: il est temps de commencer à la reconstruire et d'activer tout plan de réponse incidente que vous avez peut-être .
Vue de fichier PA pourrait vous aider là-bas. Vous pouvez configurer un moniteur pour regarder le fichier crée en C:\L'application peut enregistrer le temps de création, le processus utilisé (en supposant que c'est un processus local) et le compte utilisé. Il peut enregistrer ces données dans un fichier journal, une base de données et/ou vous alerter en temps réel.
C'est un produit commercial, mais dispose d'un essai de 30 jours entièrement fonctionnel qui fonctionnerait pour vous.
Divulgation complète: je travaille pour la société qui a créé la vue du fichier PA.
Vous pouvez également utiliser FileMon pour Windows, pour vous connecter l'heure et traiter l'écriture du fichier commis. Une fois que vous le faites, suivez le processus en utilisant Nestat -Ao et recherchez le PID du processus qui a écrit le fichier. À partir de là, trouvez l'adresse IP qui effectue la connexion à votre serveur et continuez l'enquête ou refusez la connexion si vous utilisez un pare-feu intégré Windows.
Lien vers FileMon pour Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx