我遇到了一点木马问题。我们有一台 Windows 2003 Server,配置了一个用于文件共享的分区,用于备份。在我们的网络中,大约有 50 多台计算机可以访问这些文件夹。问题是,每次受感染的计算机重新启动时,它们都会在每个可以访问网络的文件夹中写入一个隐藏文件和一个可执行文件(取决于发起者;例如:khw、vfixbi.exe)。我认为隐藏文件设置了确切的写入日期和时间,但可执行文件的日期是随机的。我清除了一些病毒,但它们不断弹出。
有没有办法识别哪些 PC/IP 正在写入这些文件夹,这样我就不必去现场/远程扫描每台计算机。
Windows 是否有内置工具,或者我可以安装某种软件来追踪它们吗?
谢谢。
答案1
如果您右键单击该文件,然后转到属性,查找该文件的所有者。这应该会告诉您哪个用户帐户创建了它。除非每个人都使用同一个帐户,否则这应该可以解决问题。
答案2
... 我不想这么说... 但你真的应该在连接到网络的每台机器上运行 AV 软件。到目前为止,你似乎很幸运,只遇到了试图自我传播的病毒。不幸的是,没有办法确定哪个机器写入了病毒……但就像理查德说的,你可以确定文件的所有者……假设你要求用户使用唯一的用户名登录。如果这是一个完全开放的共享,没有任何权限,或者每个人都使用相同的用户名……你就陷入了一大堆麻烦之中。
应始终遵循基本安全原则。连接到您的网络的所有用户都应具有唯一的用户名和密码。并且不应存在向全世界开放且未经有效用户登录即可写入的共享。Windows 环境中的防病毒软件是必需的……(在 *nix/mac 环境中也是个好主意)