কীভাবে একটি ফাইল তৈরি করা যায়?

12

আমার কয়েকটি ভাইরাস ফাইল এ সি এর রুটে এলোমেলোভাবে তৈরি হচ্ছে: আমার সার্ভারগুলির একটির ডিস্ক। কীভাবে এটি তৈরি করেছে তা আমি কীভাবে জানতে পারি? কিছু 3 য় পক্ষের সফ্টওয়্যার হতে পারে?

windows malware rootkit

— বরিস ভেজমার
সূত্র

10

ফাইলের বৈশিষ্ট্য পত্রকের "সুরক্ষা" বৈশিষ্ট্য পৃষ্ঠার "উন্নত" বৈশিষ্ট্যগুলির নীচে "মালিক" ট্যাবটি দেখুন। ওডস ভাল, তবে আপনি মালিক হিসাবে "প্রশাসক" দেখতে যাচ্ছেন (যা খুব বেশি সহায়ক হবে না)।

উইন্ডোজে নিরীক্ষণের কার্যকারিতা এই ধরণের জিনিসটিতে সহায়তা করতে পারে তবে এটি এত বড় আকারের আপাতদৃষ্টিতে অকেজো ডেটা তৈরি করে যে এটি ব্যবহারিকভাবে বলতে গেলে, এটির পক্ষে উপযুক্ত নয়।

— ইভান অ্যান্ডারসন
সূত্র

মালিক অতিথি! :) আমি জানি না কীভাবে সেই অতিথি জিনিসটি আমার মনোযোগ মিস করেছিল! এখন আমি জানি নেটওয়ার্ক থেকে অন্য কয়েকটি কম্পিউটার আমার সার্ভারকে "বোমা ফাটিয়ে" ফেলছে। ধন্যবাদ!

— বরিস ভেজমার

সেই অতিথির অ্যাকাউন্টটি লক হয়ে থাকা আরও ভাল এবং যাচাই করে নিন যে তারা আপনার মেশিনে খারাপ কাজ করেনি। যদি তারা মূল ডিরেক্টরিতে ফাইল তৈরি করে তবে আপনার হাতে একটি গুরুতর জগাখিচুড়ি থাকতে পারে।

— ইভান অ্যান্ডারসন

তারা আমার সার্ভারে কনফিগার ভাইরাস ঠেলেছিল তবে এটি অন্য কোথাও ছড়িয়ে যায়নি। আমি বিভ্রান্তির সমস্ত অবশিষ্টাংশ খুঁজে পেয়েছি এবং এটি সমস্ত সরিয়ে ফেলেছি। ধন্যবাদ

— বোরিস ভেজমার

3

এক সেকেন্ডের জন্য ধরে নেওয়া যাক যে কখনও এই ফাইলগুলি তৈরি করছে তা দূষিত নয়:

ব্যবহারকারী কী ফাইলগুলি তৈরি করেছেন তা দেখতে আপনি মালিকের দিকে তাকাতে পারেন
তারপরে সেই ব্যবহারকারীর অধীনে চলমান প্রক্রিয়াগুলি দেখতে সিসিন্টার্নালস প্রসেস এক্সপ্লোরারের মতো কিছু ব্যবহার করুন (কলামগুলিতে ডান ক্লিক করুন এবং "প্রক্রিয়া চিত্র" ট্যাবে "ব্যবহারকারীর নাম" দেখুন
তারপরে এই প্রক্রিয়াগুলির প্রতিটিটির হ্যান্ডলগুলি দেখুন (গোটো ভিউ মেনু, "নীচে ফলক দেখান," নিম্নরূপে দৃশ্য "" হ্যান্ডলস "এ পরিবর্তন করুন), তাদের মধ্যে একটিতে আপনি যে অদ্ভুত ফাইলগুলি দেখছেন তার জন্য একটি হ্যান্ডেল খোলা থাকতে পারে

তবে, এই ফাইলগুলি যা তৈরি করছে তা যদি দূষিত হয় তবে তা আপনাকে ব্যর্থ করার পদক্ষেপ গ্রহণ করবে। (ফাইল আড়াল করা, প্রক্রিয়া লুকানো, অবরুদ্ধকরণ ইত্যাদি)

রুটকিটগুলি যাচাই করতে আপনি এখানে কয়েকটি ইউটিলিটি ব্যবহার করতে পারেন: উইন্ডোজ রুটকিট সনাক্তকরণ এবং অপসারণ সরঞ্জামগুলির একটি তালিকা

তবে এটি যদি সার্ভারের মালিকানাধীন থাকে তবে আপনি জানেন যে এটির মালিকানাধীন হয়েছে, এবং আপনি কীভাবে এটি পেয়েছেন তা আপনি জানেন না: এটি পুনর্নির্মাণ এবং আপনার যে কোনও ঘটনার প্রতিক্রিয়া পরিকল্পনা সক্রিয় করার জন্য সময় এসেছে।

— দোলক
সূত্র

হ্যাঁ, আপনার উত্তরটি ইভান অ্যান্ডারসনের পরামর্শের পরে পরবর্তী যৌক্তিক পদক্ষেপ এবং এটি এই মামলার সমাধান!

— বরিস ভেজমার

2

আপনি উইন্ডোজের জন্য ফাইলমোন ব্যবহার করতে পারেন, সময় লগ করতে এবং ফাইল লেখার প্রতিশ্রুতিবদ্ধ হয়েছিল Process এটি করার পরে, নেস্টাট-আও ব্যবহার করে প্রক্রিয়াটি সন্ধান করুন এবং ফাইলটি লেখার প্রক্রিয়ার পিআইডি সন্ধান করুন। এখান থেকে আপনার আইপি ঠিকানাটি সন্ধান করুন যা আপনার সার্ভারের সাথে সংযোগ তৈরি করছে এবং তদন্ত চালিয়ে যান বা সংযোগটি DENY করুন যদি আপনি উইন্ডোজ বিল্ট-ইন ফায়ারওয়াল ব্যবহার করছেন।

উইন্ডোজের জন্য ফাইলমনের লিঙ্ক: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

— jeffp711
সূত্র

ফাইলমনের পরিবর্তে এই এক টেকনিকেট.মাইক্রোসফট.com

— চার্লস

2

পিএ ফাইল দর্শন আপনাকে সেখানে সাহায্য করতে পারে। আপনি সিতে ফাইল তৈরির জন্য একটি মনিটর সেট করতে পারেন: app অ্যাপ্লিকেশনটি তৈরির সময়, ব্যবহৃত প্রক্রিয়াটি (এটি একটি স্থানীয় প্রক্রিয়া ধরে নেওয়া) এবং ব্যবহৃত অ্যাকাউন্টটি লগ করতে পারে। এটি সেই ডেটা কোনও লগ ফাইল, ডাটাবেসে লগ করতে পারে এবং / অথবা আপনাকে রিয়েল টাইমে সতর্ক করে দেয়।

এটি একটি বাণিজ্যিক পণ্য, তবে এটির জন্য আপনার কার্যকারী 30 দিনের ট্রায়াল রয়েছে।

সম্পূর্ণ প্রকাশ: আমি যে সংস্থার পিএ ফাইল সাইট তৈরি করেছি তার পক্ষে কাজ করি।

— DougN
সূত্র

এইচএমএমএম, খুব আকর্ষণীয় সফটওয়্যার! আমি একবার চেষ্টা করে

— দেখব

0

আরও কিছু বিশদ সাহায্য করবে; উইন্ডোজ সংস্করণ, ফাইলের নাম, পাঠ্য বা বাইনারি? তাদের নাম পরিবর্তন / মুছে ফেলা যায় বা এগুলি ব্যবহারে লক করা আছে? অনেক সময় এটি লিগিত প্রোগ্রামটি ফাইলটি যুক্ত করে তা নির্দেশ করবে। আপনি স্ট্রিংস.এক্স.ই চালাতে পারেন এবং এটির কোনও বাইনারি ফাইল হলে ক্লুগুলি সন্ধান করতে পারেন।

যদি এটি একটি এনটিএফএস ড্রাইভ হয় তবে আপনি সুরক্ষা ট্যাবটি এবং উন্নত / মালিকের অধীনে পরীক্ষা করতে পারবেন কে তৈরি করেছে তা দেখতে। Sysinternals.com থেকে প্রক্রিয়া এক্সপ্লোরার এছাড়াও ক্লু দেবে।