4543 124 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Доброго времени суток!) Форумчане, нужна ваша квалифицированная помощь, сам никак не могу справиться. Ситуация такая: Простая сеть(не доменная) на несколько машин. В качестве сервера машинка на XP с расшаренной папкой, которая подключена к рабочим компьютерам как сетевой диск. В папочке лежит база данных которую пользователи благополучно пополняют через самописную прогу (аля 1С), но к моему несчастью завелся злоумышленник (или вредный скриптик), который иногда залезает в базу и стирает оттуда данные. Он залезает точно не через программулину, а сам открывает диск и трет. Вопрос: Как вычислить этого гада? Ставить аудит - не вариант, сеть не доменная и он мне покажет только кто и когда обращался к этому файлу, а сотрудники к нему на дню по 100 раз обращаются. Была мысль поставить на все машины process monitor, но вроде бы в фоновом режиме запускается только 1 раз и размер логов меня пугает... Как мне быть? Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 (изменено) Вот так вот ррраз и навскидку вспомнилось: http://www.killprog.com/kwatchr.html Сам юзал в далеком 2005м году и честно говоря не знаю как оно теперь работает. Попробуйте. Вроде бы нужный функционал присутствует... Изменено 2 июля, 2014 пользователем SLASH_id Цитата Ссылка на сообщение Поделиться на другие сайты
santax 312 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Какая база? SQL, DB2, текстовая информация в виде массива? Трет только её? накидайте в эту сетевую папку файлов, если и их удалит, то какая-то зараза сидит. А дальше как выявить паразита и комп с которого запускается не придумал. Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Да что тут думать, прога выше залогает кто куда и чего читал/писал. Дальше кто последний тот и попался. Это если искать паразита. А если нет - прогу в авторан, всем кому надо allow на шару -остальным deny. Цитата Ссылка на сообщение Поделиться на другие сайты
4543 124 Опубликовано 2 июля, 2014 Автор Share Опубликовано 2 июля, 2014 Что-то я не въехал что эта прога делает) Поставил, зашел на компьютер на котором она стоит. Что есть подключение - показывает, а про изменение и редактирование файлов ни слова... Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 @4543, Смотри вкладку История, кажется и она еще отдельно логи в файл пишет. Зап давностью лет не помню где конкретно, но помню что отслеживала. Да и в списке функций присутствует такой функционал. Цитата Ссылка на сообщение Поделиться на другие сайты
4543 124 Опубликовано 2 июля, 2014 Автор Share Опубликовано 2 июля, 2014 (изменено) И это все.... \\192.168.1.17 2014/07/02 23:41.28 User: mac OS: IP: \\192.168.1.17 Изменено 2 июля, 2014 пользователем 4543 Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Ладно, попробуйте еще это: http://www.kilievich.com/rus/fwatcher/ Оно по правому клику по пк который подключен позволяет сформировать отчет. (Проверить не на чем, в сети сейчас один.) Кстати, пораскинув мозгами, не вижу повода не юзать аудит..Даже если много коннектов в день. Проявите принцип разумной достаточности, не включайте аудит "всех и вся". Включение аудита "Успех" для событий "Удаление подпапок и файлов" будет достаточно, для логирования того, что пользователь ВасяПупки удалил файл *блабла*.db Цитата Ссылка на сообщение Поделиться на другие сайты
4543 124 Опубликовано 2 июля, 2014 Автор Share Опубликовано 2 июля, 2014 (изменено) Вася Пупкин удаляет не саму базу, а трет из нее пару важных строчек. Аудит мне покажет 1000 изменений этого файла в день. В идеале хотелось бы софтину, которая устанавливается на каждый комп и пишет историю какие проги лазили по адресу "C:\Users\IloveMac\Desktop\". Тот у кого в логах окажется что-то кроме (Аля 1С) и получит по шее. Если кто подскажет как обучить писать не всю инфу, а только по фильтрам и запускать в фоновом режиме несколько раз буду очень признателен! Изменено 2 июля, 2014 пользователем 4543 Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Стоп. То есть нечто делает именно некорректные изменения в файле? Пожалуй я в тупике. Может более опытные коллеги подскажут. Цитата Ссылка на сообщение Поделиться на другие сайты
4543 124 Опубликовано 2 июля, 2014 Автор Share Опубликовано 2 июля, 2014 (изменено) SLASH_id, process monitor можно обучить писать не такие большие логи? Изменено 2 июля, 2014 пользователем 4543 Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 Походу нет. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 281 Опубликовано 2 июля, 2014 Share Опубликовано 2 июля, 2014 завелся злоумышленник (или вредный скриптик), который иногда залезает в базу и стирает оттуда данные. Он залезает точно не через программулину, а сам открывает диск и третпохоже на задачу следователя, найти убийцу среди N подозреваемых. а как удалось выяснить, что не через программулину? как велико количество пользователей? может попробовать методом исключения из подозреваемых? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
santax 312 Опубликовано 4 июля, 2014 Share Опубликовано 4 июля, 2014 А может дело не в зловреде, а в некорректности софта, который работает с этой базой? Некая 'криво' написанная функция этого софта затирает пару важных строчек... Цитата Ссылка на сообщение Поделиться на другие сайты
4543 124 Опубликовано 5 июля, 2014 Автор Share Опубликовано 5 июля, 2014 Хорошо. Как можно отследить Дату изменения/программу с помощью которой было произведено изменение и по возможности само изменение? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.