¿Cómo puedo saber cómo se introdujo un archivo en mi computadora?

Navega tus respuestas
3

Me gustaría saber si hay alguna forma de saber cómo se escribió un archivo en mi servidor (servidor Windows), es decir, si un archivo X se escribió a través de http o vía ftp o mediante una simple copia de red o si alguien creó este archivo manualmente. ?

¿Hay algún registro en Windows que pueda proporcionarme esta información? ¿O alguna herramienta que pueda ayudarme a reunir esta información?

Estoy sospechando una infracción y los registros del servidor web (IIS) no proporcionan mucha información.

    
pregunta shrivb 01.06.2015 - 10:28
fuente

3 respuestas

4

No es confiable.

Puede verificar los registros de FTP, los registros de IIS y los registros de eventos (para el acceso de administrador en el momento de la creación del archivo), pero si es malicioso y el atacante desea cubrir sus huellas, la mayoría de estos archivos son fáciles de falsificar / corrupto etc.

La mejor manera es prepararse previamente y tener un sistema que reaccione a los nuevos archivos que se crean (generalmente en directorios específicos o con permisos específicos). El sistema que detecta esto puede entonces hacer un registro de qué servicios se estaban ejecutando, copias incorruptibles (posiblemente fuera del servidor) de los registros, y qué usuarios / usuarios del servicio habían iniciado sesión en ese momento.

La única forma confiable de verificar / monitorear si un archivo ha sido cargado a su servidor es hacer un registro de los hashes de todos los archivos (de interés) en el servidor en un momento específico en el tiempo, y luego comparar los la lista de archivos actuales y sus hashes, para ver si un archivo se ha cargado (y, por lo tanto, es un archivo nuevo en comparación con la lista de instantáneas) o si se ha cambiado uno (porque el hash es diferente).

No es suficiente verificar los tiempos de creación / acceso / cambio de archivos aplicados por el sistema operativo, ya que se pueden falsificar (falsificar) fácilmente.

Esto es mucho trabajo, pero existen herramientas de integridad de archivos, tanto de código abierto como gratuitas, y comerciales, que pueden ayudar en la contabilidad.

Si necesita saber hoy y no tiene registro de archivos y (para la detección de cambios) sus hashes, entonces no hay una manera confiable de verificar esto. La comprobación de los archivos recién creados mediante una simple búsqueda de archivos puede funcionar si no es parte de un ataque sofisticado en el que el atacante malintencionado está tratando de cubrir sus huellas, pero simplemente no es confiable.

    
respondido por el David Scholefield 01.06.2015 - 15:09
fuente
1

Es muy difícil identificar CÓMO un archivo llegó a tu computadora. Los registros deben ser la única manera.

Pero mencionaste 4 posibilidades, que son (muy) diferentes.

  • enlace

Usted mencionó el servidor web IIS. ¿Cómo se establecen los derechos allí? Es vergonzoso ver que alguien podría copiar un archivo debido a un abuso del servidor web. Solucione eso, busque correcciones / actualizaciones / parches para la versión que usa. SI existe un error.

  • ftp

¿Qué derechos tienen tus usuarios? Si pueden escribir en cada carpeta, pueden causar más daños en el futuro. arreglarlo!

  • copia de red

De nuevo ... ¿derechos de usuario aquí? ¿Por qué se permitió esto?

p.s. Estoy escribiendo esto porque sospechas una violación en IIS / otros.

Volver al archivo que se creó. ¿Viste las propiedades del archivo?

  • ¿Cuándo fue creado?

  • ¿Quizás quién es el autor del archivo?

respondido por el pbalazek 01.06.2015 - 13:16
fuente
0

Puede averiguar quién escribió el archivo desde la marca del propietario del archivo NTFS. A menos que correlacione los procesos que se ejecutan con las cuentas de usuario junto con los registros del sistema, no podrá identificar qué proceso o aplicación creó realmente el archivo.

También puedes poner el monitor de archivos en tu servidor, lo que te alertará sobre cualquier cambio en los archivos. Una alternativa sería usar una cuenta de usuario dedicada para ejecutar IIS y luego monitorear los archivos que esta cuenta de usuario crea o modifica. Refiérase a estas excelentes respuestas sobre cómo lograr esto: enlace .

Un evento de creación o modificación de archivos solo se registrará si ha habilitado dicho registro en su servidor de Windows. Una vez que esté habilitado, puede usar el visor de registro del sistema para ver los eventos que coinciden con la creación / modificación de un archivo en particular. Consulte este artículo enlace (muy antiguo, pero sigue siendo válido) sobre cómo configurar el registro de archivos / carpetas a través del local politica de seguridad. También puede establecer esto a través de GPO si está ejecutando el servidor en un dominio AD.

Para acceder a estos eventos de registro a través de secuencias de comandos, puede consultar este artículo que describe cómo usar las secuencias de comandos de Windows PowerShell para obtener eventos de registro: enlace

A menudo me parece mejor probar las soluciones sencillas primero para eliminar las causas comunes al investigar problemas.

    
respondido por el Sandeep S. Sandhu 01.06.2015 - 19:59
fuente

Lea otras preguntas en las etiquetas

¿Es inseguro crear un puente de red para conectar una máquina virtual a Internet? ¿Cómo funciona realmente el monitoreo de desfiguración del sitio web?