Сервер одной из наших компаний, похоже, стал жертвой бэкдорной атаки php. Мне удалось найти и закрыть несколько дыр, но одна, кажется, сохраняется, она записывает бэкдор php / webshell в наш C: / windows / temp.
Microsoft Security Essentials, кажется, хорошо справляется с обнаружением этой угрозы и удалением ее до ее выполнения, но проблема в том, что мне нужно просмотреть свойства безопасности файлов, чтобы увидеть, какой пул приложений создает эти файлы (у нас есть около 16 разных сайтов на этом сервер).
Кто-нибудь знает программу / способ, с помощью которого я могу отслеживать запись файлов в C: / windows / temp?
Вам следует выполнить восстановление из заведомо исправной резервной копии. По крайней мере, просканируйте сервер в автономном режиме, используя какой-либо аварийный компакт-диск. С этим в стороне ...
Использовать Обозреватель процессов чтобы глубоко изучить процесс и файловую активность. Вы также можете использовать политику безопасности для аудита доступа к файловой системе. Однако, поскольку сервер скомпрометирован, я бы не стал доверять тому, что он мне сообщает.
(Щелкните картинку! Вам понравится!)
Для одноразового ответа Microsoft Sysinternals Монитор процесса будет наблюдать за любой файловой активностью, которую вы хотите, и многое другое.