Windows-Server-2003

用於文件寫入的 Windows 2003 Server 監控工具

  • September 20, 2010

我遇到了一些木馬問題。我們有一個 Windows 2003 Server,配置了一個分區用於文件共享以進行備份。在我們的網路中,大約有 50 多台電腦可以訪問這些文件夾。問題在於,每次被感染的電腦重新啟動時,它們都會在每個可以訪問網路的文件夾中寫入一個隱藏文件和一個執行檔(取決於創建者;例如:khw、vfixbi.exe)。我認為隱藏文件設置了確切的寫入日期和時間,但執行檔的日期是隨機的。我消毒了一些,但它們不斷彈出。

有沒有辦法辨識女巫 PC/IP 正在寫入這些文件夾中,這樣我就不必去現場/遠端掃描每台電腦。

Windows 是否有內置工具,或者我可以安裝某個軟體來追踪它們?

謝謝你。

如果您右鍵點擊該文件,然後轉到屬性,查找該文件的所有者。那應該告訴您創建它的使用者帳戶。除非每個人都使用相同的帳戶,否則應該可以解決問題。

…我不想這麼說…但是您確實應該在連接到網路的每台機器上執行 AV 軟體。到目前為止,您似乎很幸運,只是遇到了試圖自我傳播的病毒。不幸的是,沒有辦法確定是台機器編寫了病毒……但就像理查德所說,您可以確定文件的所有者……假設您要求您的使用者使用唯一的使用者名登錄。如果這是一個完全開放的共享,沒有權限,或者每個人都使用相同的使用者名……你剛剛踏入了一大堆待辦事項。

應始終使用基本的安全原則。所有連接到您的網路的使用者都應該有唯一的使用者名和密碼。在沒有有效使用者登錄的情況下,不應該有任何對世界開放和可寫的共享。Windows 環境中的防病毒軟體是必須的……(在 *nix/mac 環境中也是一個好主意)

引用自:https://serverfault.com/questions/182844