Уважаемые коллеги!
Намедни получил ситуацию, которую не могу объяснить.
Картинки в ЗИП-архиве (46К) здесь
На сервере установлен антивирус eTRUST.
Базы новые, вчерашние.
Время от времени мои прямоходящие притаскивают какую-нибудь дрянь, которую ДрВеб на рабочих станциях не отсекает и тогда серверный авирус настроен просто прибивать такие заражённые файлы, как правило это ЕХЕ формат.
Но всегда происходило в их домашних каталогах или в кат. общего доступа.
Но каталог STN - только для чтения. Это подтвердила и винда и утилиты Бэрда...
Более того, проверив эти права "в теории" я подошёл к UVA и прямо с его маш. попробовал записать-стреть-отредактировать в этом каталоге (ТоталКоммандером).
Естественно, и на создание-модификацию , и на удаление получил запрет...
Вопросы:
- как бы это могло быть: прямоходящий не имеет прав в каталоге, но от его имени происходит заражение?
- или же где-то протечка прав и тогда второй вопрос - чем ещё можно посмотреть окончательные права?
- или же серверный антивирус подработал и взял пользователя "с потолка"?
Спасибо.
Заражение при RF на кат. Кто дурак??
Сообщений: 6
• Страница 1 из 1
Заражение при RF на кат. Кто дурак??
Музалёв Николай » 06 авг 2010, 11:44
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
- Музалёв Николай
- Сообщения: 3034
- Зарегистрирован: 04 июн 2002, 19:58
- Откуда: Беларусь. МИНСК.
Re: Заражение при RF на кат. Кто дурак??
Сергей Дубовский » 06 авг 2010, 12:31
А это не могло быть ложное срабатывание антивируса?
Каспер как-то помнится "консультант плюс" прибивал...
Каспер как-то помнится "консультант плюс" прибивал...
- Сергей Дубовский
- Сообщения: 180
- Зарегистрирован: 05 мар 2003, 12:58
- Откуда: Москва
Re: Заражение при RF на кат. Кто дурак??
Владимир Горяев » 06 авг 2010, 13:30
Посмотри наследуемые права и фильтры.
Еще может быть кто-то, имеющий право, до того записал заразу на сервер, а антивирь не видел (напр был остановлен или базы старые), а после при обращении пользователя на чтение обнаружил и прибил.
Еще может быть кто-то, имеющий право, до того записал заразу на сервер, а антивирь не видел (напр был остановлен или базы старые), а после при обращении пользователя на чтение обнаружил и прибил.
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Re: Заражение при RF на кат. Кто дурак??
skoltogyan » 07 авг 2010, 17:44
или заражение с машины за которой логинилсь в сеть как admin
- skoltogyan
- Сообщения: 2047
- Зарегистрирован: 12 июл 2002, 19:39
- Откуда: Украина, Донецк
Re: Заражение при RF на кат. Кто дурак??
Влад А.Сокол aka Akina » 09 авг 2010, 12:41
Скрины показывают, что:
1) Данный юзер в данном каталоге имеет RF;
2) Файл с вирём был прибит при попытке обращения к нему юзера.
Отбрасывая сказки про барабашку, можно предположить один из вариантов:
1) Файл уже был в каталоге до того, как к нему обратился юзер.
Т.е. кто-то, имеющий право записи в каталог, когда-то положил в него зараженный файл либо заразил уже лежавший там чистый файл, причём на тот момент этот вирус не детектировался. И файл с заразой лежал себе спокойно до тех пор, пока к нему не обратились. Первое же обращение вызвало детект и удаление.
2) Файл уже был в каталоге, а со станции юзера было выполнено его заражение, при этом по неизвестной причине именно на этот файл (прямым назначением или по эквивалентности) у юзера были права на его модификацию.
Более определённо можно что-то сказать, если получить информацию о:
1) дате-времени создания файла и логине создателя;
2) дате-времени модификации файла;
3) легитимности файла (этот файл должен был лежать в каталоге, но незараженный, или его там не должно было быть).
1) Данный юзер в данном каталоге имеет RF;
2) Файл с вирём был прибит при попытке обращения к нему юзера.
Отбрасывая сказки про барабашку, можно предположить один из вариантов:
1) Файл уже был в каталоге до того, как к нему обратился юзер.
Т.е. кто-то, имеющий право записи в каталог, когда-то положил в него зараженный файл либо заразил уже лежавший там чистый файл, причём на тот момент этот вирус не детектировался. И файл с заразой лежал себе спокойно до тех пор, пока к нему не обратились. Первое же обращение вызвало детект и удаление.
2) Файл уже был в каталоге, а со станции юзера было выполнено его заражение, при этом по неизвестной причине именно на этот файл (прямым назначением или по эквивалентности) у юзера были права на его модификацию.
Более определённо можно что-то сказать, если получить информацию о:
1) дате-времени создания файла и логине создателя;
2) дате-времени модификации файла;
3) легитимности файла (этот файл должен был лежать в каталоге, но незараженный, или его там не должно было быть).
- Влад А.Сокол aka Akina
- Сообщения: 1326
- Зарегистрирован: 05 июн 2002, 09:24
- Откуда: Зеленоград, Москва, Россия
Re: Заражение при RF на кат. Кто дурак??
Музалёв Николай » 09 авг 2010, 15:56
Спасибо всем!
Да, скорее всего было предварительное заражение , затем файл лежал себе, лежал... И в момент обращение (возможно, просто сканировался каталог) его и прибило.
Да, скорее всего было предварительное заражение , затем файл лежал себе, лежал... И в момент обращение (возможно, просто сканировался каталог) его и прибило.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
- Музалёв Николай
- Сообщения: 3034
- Зарегистрирован: 04 июн 2002, 19:58
- Откуда: Беларусь. МИНСК.
Сообщений: 6
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25