Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Кто забрасывает вирусы в общие папки? (http://forum.oszone.net/showthread.php?t=136578)

Painted 02-04-2009 11:03 1081771
Кто забрасывает вирусы в общие папки?
 
Вопрос, наверное, риторический, но все-таки. И так...
Есть сеть, сто компьютеров, серверы, общие папки на сервере. С какого-то компа регулярно забрасывается вирус в шары. Как узнать с какого? На других форумах советуют
- перейти на линукс+самба (боюсь не осилю)
- установить(поменять) антивирусы (на сервере стоит, за всеми юзерами не уследишь)
- смотреть логи (смотрел - не увидел)
Может еще какие варианты есть?

Котяра 02-04-2009 14:35 1081912
Painted, а какой вирус?

Painted 02-04-2009 16:14 1082006
Последний раз это был Win32.HLLW.Autoruner.6013 (в терминологии DrWeb).
До этого заражались исполнимые файлы вирусом Win32.Sector.5 (в терминологии DrWeb) или Win32/Sality (по терминологии Nod32).
Это принципиально? Говорят, в линухе это просто отследить. Но неохота ради одной паршивой овцы линух городить.

Pili 02-04-2009 19:18 1082245
Цитата:
Цитата Painted
Это принципиально? »
Принципиально. У вас файловый вирус и плюс червь. Отключайте общие ресурсы, ставьте везде обновления, ознакомьтесь с инструкцией, если утилита kidokiller не поможет, проверьтесь другими утилитами см. здесь, файловый вирус лечить лучше с CD, см. метод лечения системы от файловых вирусов.
Начните лечить с серверов, к общим ресурсы подключайте только проверенные пропатченные рабочие станции, отключите везде автозапуск см. autorun, вам это сделать удобнее политикой домена.
Цитата:
Цитата Painted
Как узнать с какого? »
Анализируйте логи антивируса на сервере. В KAV админките можно отчеты сформировать, вероятно в DrWeb тоже есть такое, настройте аудит общих папок (на создание) и см. логи.

Petya V4sechkin 02-04-2009 21:47 1082455
Цитата:
Цитата Painted
Как узнать с какого?
Если это отдельный файл (например, Autorun.inf), в свойствах файла -> вкладка Безопасность -> кнопка Дополнительно -> вкладка Владелец.

А также:
[решено] Аудит сетевых событий

Painted 03-04-2009 07:49 1082726
Цитата:
Цитата Pili
Отключайте общие ресурсы »
Это невозможно.
Цитата:
Цитата Pili
ставьте везде обновления, »
За всеми не уследишь, к тому же люди приходят со своими ноутами. Например, аудиторы.
Цитата:
Цитата Pili
удобнее политикой домена »
Около ста компьютеров не в домене. Заражаются именно те ресурсы к которым есть доступ всем, даже гостям.
Цитата:
Цитата Pili
Анализируйте логи антивируса на сервере. »
У нас Nod, нет там айпишников в логах

Petya V4sechkin,
Спасибо, попробую.

Pili 03-04-2009 09:31 1082788
Цитата:
Цитата Painted
Это невозможно. »
Цитата:
Цитата Painted
За всеми не уследишь »
Цитата:
Цитата Painted
есть доступ всем, даже гостям. »
При таком подходе вы не избавитесь от проблемы.

Painted 03-04-2009 16:17 1083181
Цитата:
Цитата Pili
При таком подходе вы не избавитесь от проблемы. »
Это точно. Ситуация у нас не очень простая. В нашей сети и домен есть, и антивирь обновляется, и шары раздаются строго по письменному приказу. И больших проблем нет, но....
В этом же здании еще с десяток организаций, у каждого своя сеть, у некоторых даже свой айтишник (как правило это 1С, только 1С и ничего кроме). Однажды решили поднять один сервак на всех, для обмена файлами меж организациями. Админ разрулил маршруты на циске. И тут все началось...

Цитата:
Цитата Petya V4sechkin
[решено] Аудит сетевых событий »
Все сделал, IP в событиях не отражается. Пользователь - Гость, но это не о чем не говорит.
Я так и думал, короче.

Darza 09-04-2009 09:45 1088618
Painted, Приветень!
когда увидишь вновь записанный вирус на общем ресурсе,
жмешь на этом файле пр.клавишу мыши - и выбираешь "Свойства"
далее идешь в закладку - "Безопасность" - и анализируешь пользователей

Мой опыт:
у нас в организации AD (домен), и около 300 компов - большенство из низ (95%) в домене, а 5% не в домене (это аудиторы и т.п.)
так вот на своем рабочем месте (мой комп в домене, и я сетевой и системный админ) я создал специально такую папку с возможностью записи всем в нее, для чего? - для того чтобы ловить пользователей кто распространяет вирусы по сети на общие шары!

уже несколько раз попогало!
у нас в организации всем ставим Symantec корпоративный с единым центром, себе же я поставил НОД4.

как только НОД4 информирует, что найден вирус в моей шаре на компе(НО не показывает кто его записал), я сразу иду в мою расшаренную папку и жму на этом новом файлике "свойства"-"безопасность" и смотрю кто мне подкинул такое чудо

вот это из личного опыта

Painted 10-04-2009 15:48 1090035
Цитата:
Цитата Darza
я создал специально такую папку с возможностью записи всем в нее »
Гостя включил?
Народ у нас в шары входит как Гость, соответственно во владельцах указан Гость и в логах указан Гость. То есть вопрос можно поставить так - можно ли отключив Гостя, обеспечить доступ всем? Даже не доменым пользователям?

Darza 11-04-2009 22:50 1091347
Painted,
я в домене,
ГОСТЬ - включен, но тот кто пишет вирус в шару сразу идентифицируется как пользователь домена, т.е. я сразу вижу ФИО ....
если сеть без домена и вход осуществляется по ГОСТЮ то тут увы мой способ не прокатит.

если отключить ГОСТЯ на компе с общей шарой(сеть без домена),
то нужно будет заводить пользователей сети (которым разрешено пользоваться этой шарой)
в локальных пользователей
сюда - Управление компьютером - Локальные пользователи - Пользователи
тогда можно будет увидеть кто кинул вирус по сети ;)


Время: 18:01.

Время: 18:01.
© OSzone.net 2001-