我们有一个具有远程桌面访问权限的 Windows 2003 开发服务器(IIS 和 SQL Server),并且一些员工拥有管理员权限。
几周前,很多重要文件(dll、exe、msc 和其他内容)从 system32 目录中消失。服务器几乎无法运行(大量错误!!!),我们目前正在设置另一个服务器。
我猜测是有人干的,因为我用趋势科技做了病毒扫描,一切看起来都很好。
我怎样才能找到是谁或什么对我们的服务器做了这种事情?
答案1
发现此类问题的唯一方法是进行文件级审计已经到位。事后你无法发现。这种审计非常垃圾,而且几乎需要某种第三方日志聚合/分析引擎。
答案2
如果您可以根据错误首次出现在事件日志中的时间缩小范围,您可能能够检查登录/注销事件以查看问题开始时谁登录过。如果删除是通过网络共享进行的,这将无济于事。
答案3
与此同时,您可能能够使用修复功能来修复安装,而不是设置新的服务器。