[ubuntu-ar] investigar borrado archivos

Marco Antonio mhoyos at gmail.com
Wed Nov 26 00:43:18 GMT 2008 

El día 25 de noviembre de 2008 12:26, Sergio <sergiom99 en gmail.com> escribió:
> Hola gente, me desvio un rato de mi estudio para hacer una consulta.
> Resulta que hay un server con una carpeta compartida por SMB que tiene unas
> aplicaciones win32. A decir de la gente de esa empresa, ya van 2 o 3 fines
> de semana que se le borran los EXE de esa carpeta y el lunes no pueden
> entrar al programa para laburar. Segun dicen han escaneado cada una de las
> PCs  y dicen no tener virus. Al estar la carpeta compartida en un entorno
> Win, es posible que si haya entrado un virus a esos archivos, o lo que mas
> me inclino yo, que los hayan borrado los usuarios, a proposito o
> inadvertidamente.
> El asunto es: de que manera y donde me podría dar cuenta de los movimientos
> con esos archivos? si fueron borrados, copiados, etc?
>

estimado:

por lo que entiendo: el recurso compartido es un win ?? si es asi,
analiza los logs de accesos, donde te dira quien ingreso, cuando, y
que hizo...

en el caso de que el recurso compartido sea un samba, analiza los logs
correspondientes que te diran mas o menos, quien ingreso, que modifico
o que "borro". en este caso (samba) si tenes activados en la config
correspondiente, que te "loguee" (lease log) de los movimientos de los
recursos compartidos, los usuarios y que hicieron..

de otra manera no tenes forma de determinar los movimientos..

ej:

en mi casa, tengo un smb, mapeado en algunas maquinas win. en un caso,
tengo una carpeta que tiene permisos 777 y cada tanto, aparecen
archivos .exe, .inf y algun que otro autorun, los cuales son generados
por el user "nobody"... como no tengo una red segura (va, solamente la
carpeta con 777) cualquiera puede escribir en ella. he detectado que
algunos programas malware, buscan/escanean la red, y escribe donde el
usuario invitado tiene permisos y se aloja..

espero te sirva..

salu2



-- 
                Marco Antonio de Hoyos
              15-5-157-2322 // 4268-1557
Claypole - Pcia. de Bs. As.- Argentina
ICQ#92702911 / jabber: mhoyos en jabber.org
  ------------------------------------------------------------------
> software is like sex, it´s better when it´s free <
                    (Linus Torvalds)
  ------------------------------------------------------------------
                   http://tecnicoslinux.com.ar

More information about the Ubuntu-ar mailing list