script para monitorear si un archivo cambia dentro de un forder

1

Estoy intentando hacer un script para monitorear si un nombre de archivo está cambiando dentro de una carpeta específica, y luego si es verdadero para activar la acción de apagar ese dispositivo

La idea es estar un paso por delante de los cryptolockers.

Si aún podrán acceder a nuestra red y ejecutar el software de encriptación, cuando el nombre del archivo cambie, el dispositivo se apagará.

¿Alguien ya ejecutó un script como ese? Cualquier consejo es bienvenido (no sé mucho sobre escribir un guión)

¡Gracias!

Publicar actualización

De hecho, el SO será Windows. La idea general es establecer este script en los servidores compartidos y en las carpetas importantes para crear una carpeta que debe contener un archivo específico. Ese archivo se monitoreará a través de la secuencia de comandos, y en cualquier momento en que se modifique el nombre de ese archivo, la acción debería ser $ shutdown.exe / f / r / t 00 Por lo tanto, la secuencia de comandos solo monitoreará un archivo (digamos file.xyz) desde una carpeta, y mientras el nombre del archivo no cambie, la secuencia de comandos debería ejecutarse en un bucle. Y sí, la secuencia de comandos debe ejecutarse en un temporizador para comprobar regularmente el archivo específico. Para aplicar el script en los servidores de destino, estamos usando N-Central, y podemos implementar el script desde N-Central.

Cornel Stirbu
fuente
¿Podría ser más específico sobre el sistema operativo donde desea que se ejecute este software?
jcbermu
Supongo que el sistema operativo sería Windows (objetivo principal de la cryptolockers ). ¿Ya has pensado en cómo apagar "el dispositivo"? Por ejemplo, Locky también escaneará y dañará sin mapear Ubicaciones de red. Entonces, en ese caso, todo el acceso a la red debe estar deshabilitado porque no puede "apagar" una computadora remota fácilmente.
Rik
¿Y has pensado en qué nombre de archivo vas a ver (de qué archivo)? No puede verlos a todos en busca de cambios porque eso activaría el script casi cada segundo (para los cambios de su propio nombre de archivo y el de Windows). Y si simplemente elige un archivo que no cambia, casi siempre es demasiado tarde. Estos cryptolockers ya habrán cifrado la mitad de su disco (o ubicación de red). Es mejor tener un buen escáner (y una política para no solo ejecutar todo sin verificarlo).
Rik
Tenga en cuenta que superusuario.com no es un servicio gratuito de escritura de código / script. Si nos dice lo que ha intentado hasta ahora (incluya los scripts / códigos que ya está usando) y dónde está bloqueado, podemos intentar ayudarlo con problemas específicos. También deberías leer ¿Cómo hago una buena pregunta? .
DavidPostill
Considere solo obtener el software real diseñado para protegerlo, lo que sería mucho más confiable. Algo como WinAntiRansom de la gente de WinPatrol.
fixer1234

Respuestas:

0

El .NET Framework proporciona una FileSystemWatcher Clase que dispara eventos cuando se realizan ciertos cambios en el sistema de archivos. Lo he usado para escribir un servicio de transferencia de archivos para un proyecto de trabajo y funciona bien. Aquí está un tutorial para un 'Servicio de supervisión de carpetas' que le dé una idea de lo que puede hacer y si desea seguir ese camino.

Por lo que sé, la otra opción es escribir un script que se ejecute en un temporizador o en un bucle infinito y compruebe regularmente los archivos en una carpeta específica en busca de cambios. Esto podría estar escrito en cualquier número de idiomas, pero sería una solución menos elegante.

T_Bacon
fuente
Hola T_Bacon, Tx por tu reacción. De hecho, en lo que estaba pensando es en el script que se ejecuta en un temporizador o bucle infinito. Ahora estamos en la etapa de degustación y eso parece una solución fácil. ¿Tal vez ocurra que todavía tengas un script así para que pueda comenzar desde allí?
Cornel Stirbu
@CornelStirbu: me temo que no tengo un script que recorra los archivos de un directorio. No debería ser demasiado difícil de implementar, estoy seguro de que hay algunos buenos ejemplos en la web si los busca.
T_Bacon
Hay muchos ejemplos. Aquí está mi primer éxito en Google: superuser.com/questions/226828/… Pero sigo pensando que este es el enfoque equivocado porque cuando este script activa el daño, casi seguro ya está hecho.
Rik
@ rik: Recibí su opinión sobre nuestro enfoque para este problema. Podemos, por ejemplo, hacer 2 o 3 de estas carpetas que siempre deben ser supervisadas por el script. Uno para ser el primero en la lista de carpetas compartidas (.Folder), uno para ser el último (zFolder) y cuando el golpe de cryptolock que activará el cierre para limitar el daño. De todos modos, estamos utilizando Veeam Backup, pero si el ataque se produce en unas vacaciones, a veces no podemos retroceder lo suficiente ...
Cornel Stirbu