¿Cómo averiguar qué creó un archivo?

12

Tengo algunos archivos de virus creados aleatoriamente en la raíz de ac: disco de uno de mis servidores. ¿Cómo puedo averiguar qué lo creó? ¿Algún software de terceros quizás?

Boris Vezmar
fuente

Respuestas:

10

Eche un vistazo a la pestaña "Propietario" en las propiedades "Avanzadas" de la página de propiedades "Seguridad" de la hoja de propiedades del archivo. Sin embargo, es muy probable que veas a los "Administradores" como propietarios (lo que no será de mucha ayuda).

La funcionalidad de auditoría en Windows puede ayudar con este tipo de cosas, pero genera volúmenes tan grandes de datos aparentemente inútiles que, prácticamente hablando, no valen la pena.

Evan Anderson
fuente
propietario es invitado! :) ¡No sé cómo esa cosa de los invitados había perdido mi atención! Ahora sé que otra computadora de la red está "bombardeando" mi servidor. ¡Gracias!
Boris Vezmar
Mejor que la cuenta de Invitado bloqueado y verifique que no hayan hecho cosas desagradables en su máquina. Si están creando archivos en el directorio raíz, puede tener un serio desastre en sus manos.
Evan Anderson
empujaron el virus conficker a mi servidor, pero no se pudo propagar a ningún otro lado. Encontré todos los restos de conficker y lo eliminé todo. gracias
Boris Vezmar
3

Supongamos por un segundo que lo que sea que esté creando estos archivos no es malicioso:

  • Puede mirar al propietario para ver qué usuario creó los archivos
  • Luego use algo como Sysinternals Process Explorer para ver los procesos que se ejecutan bajo ese usuario (haga clic con el botón derecho en las columnas y marque "Nombre de usuario" en la pestaña "Imagen de proceso"
  • Luego mire los controladores que tiene cada uno de estos procesos (Ir al menú Ver, marcar "Mostrar panel inferior, Cambiar" Vista de panel inferior "a" Controladores "), uno de ellos puede tener un controlador abierto para los archivos extraños que está viendo

Sin embargo, si lo que sea que esté creando estos archivos es malicioso, tomará medidas para frustrarlo. (Ocultar archivos, ocultar procesos, ofuscación, etc.)

Puede utilizar algunas de las utilidades aquí para buscar rootkits: una lista de herramientas de detección y eliminación de rootkits de Windows

Pero si el servidor ha sido de su propiedad, usted sabe que es de su propiedad y no sabe cómo entraron: es hora de comenzar a reconstruirlo y activar cualquier plan de respuesta a incidentes que pueda tener.

Beto
fuente
Sí, su respuesta es el siguiente paso lógico después de lo que sugirió Evan Anderson, ¡y es la solución para este caso!
Boris Vezmar
2

También puede utilizar FileMon para Windows, para registrar el tiempo y el proceso en que se confirmó la escritura del archivo. Una vez que haga eso, rastree el proceso usando nestat -ao y busque el PID del proceso que escribió el archivo. Desde aquí, busque la dirección IP que está haciendo la conexión a su servidor y continúe la investigación o NEGUE la conexión si está usando el Firewall incorporado de Windows.

Enlace a FileMon para Windows: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

jeffp711
fuente
FileMon se reemplaza por este technet.microsoft.com/en-us/sysinternals/bb896645
charles
2

PA File Sight podría ayudarlo allí. Puede configurar un monitor para ver las creaciones de archivos en C: \ La aplicación puede registrar el tiempo de creación, el proceso utilizado (suponiendo que sea un proceso local) y la cuenta utilizada. Puede registrar esos datos en un archivo de registro, base de datos y / o alertarlo en tiempo real.

Es un producto comercial, pero tiene una prueba de 30 días totalmente funcional que funcionaría para usted.

Divulgación completa: trabajo para la empresa que creó PA File Sight.

DougN
fuente
HMMM, software muy interesante! Lo intentaré :)
Boris Vezmar
0

un poco más de detalles ayudaría; ¿Versión de Windows, nombre de archivo (s), texto o binario? ¿Pueden ser renombrados / eliminados o están bloqueados en uso? Muchas veces esto apuntará a qué programa ligit agregó el archivo. Puede ejecutar strings.exe y buscar pistas si es un archivo binario.

Si se trata de una unidad NTFS, puede consultar la pestaña de seguridad y en avanzado / propietario, para ver quién creó. El explorador de procesos de sysinternals.com también dará pistas.


fuente