我们有一个基于 ASP Classic 的网站,运行在 IIS 8.5 上,并且遇到了一个问题,即文件被修改,而文件的内容被删除。这种情况是随机发生的,因此我们怀疑前员工仍然拥有用户帐户,或者可能在服务器上有一个文件,允许他们修改其他文件。
有没有什么方法可以跟踪文件(无论是 Windows 用户还是在 IIS 上运行的特定文件)的修改/删除?
答案1
文件系统审计自 1993 年左右就已在 Windows NT 中出现,在文件的安全属性中,启用审计,然后您可以检查 Windows 事件日志中是否有对该文件的访问。
答案2
这听起来像是入侵检测系统 (IDS) 的工作。请记住:在显然已经受到攻击的服务器上安装 IDS 是没用的。入侵者可以检测到它并调整其行为。我建议更改登录名并使用非军事区使用 IDS 设置新服务器。