我们正在使用执行程序作为我们在 Windows Server 2003 SP2 上的许多设置的一部分,通过命令行发送邮件没有任何问题。这简直太棒了。
现在,我们正在使用的某些软件在安装时提供了 blat.exe。
问题:时(可能每台服务器每 6 个月到 1 年一次),blat.exe 缺失。任何地方都找不到它的踪迹。病毒扫描程序 (McAfee) 没有报告它,我在任何日志文件中都找不到有关它的任何信息。
供应商告诉我们,他们已经使用 filemon 调查了这个问题,并且 svchost.exe 会将其删除。我实际上不打算在大量服务器上长期使用 filemon。
你们中有人遇到过这个问题吗?如果有,这个问题的根本原因是什么?或者你有什么提示可以帮助你找出问题所在?除了病毒扫描问题外,使用 Google 进行大量搜索后一无所获。
谢谢!
答案1
您可以打开文件审核,仅启用该特定文件上“所有人”的删除监视。您至少可以发现负责的帐户和进程名称。您还可以尝试锁定该文件的 ntfs 删除权限,以仅允许您自己的管理员帐户进行此类更改。
我仍然倾向于认为病毒扫描问题没有被报告 - 或者可能是 Windows“恶意软件”检查以某种方式发现了它。就像 netcat 保持网络漏洞打开一样,blat.exe 被垃圾邮件发送者在受感染的主机上使用。
Filemon 有点过头了,只有在你能够控制它或似乎知道如何触发它时,你才能找到正在发生的事情。听起来你已经意识到这是一种严厉的方法。
svchost 实际上只是一个通用的服务主机,可以帮助启动看似上百种不同的服务(Windows Update 通过“C:\Windows\system32\svchost.exe -k netsvcs”获取其行军命令)。听起来您的供应商在那里没有做太多功课。
这会很棘手,希望至少能给你提供一些关于去哪里的指示......