Menü
Avatar von Knut Kristan Weber
  • Knut Kristan Weber

618 Beiträge seit 07.06.2000

Detektieren wenn Name und Extension gar nicht geändert werden

Nachdem ich so eine Lösung für Hash-Werte bei nicht Windows Servern hier bei heise gefunden habe, hab ich das Prinzip mal adaptiert.
Nicht alle Trojaner ändern Namen oder Extensions, so dass man das blockieren könnte mit Fileserver Resource Manager unter Windows. Detektieren nach Schadensfall ist immer noch besser als den Umfang nicht zu erkennen, bis er aus dem Backup-Fenster gelaufen ist. Wer sehr große Umgebungen pflegen muss mit tausenden Shares, die manchmal nur selten, z.B. ein Mal im Jahr benutzt werden, kann sich das gut vorstellen.

fciv.exe ist ein Download bei Microsoft.

In alle Shares ein JPG (immer das Gleiche) legen mit bekanntem Hashwert.
Per Command Line ständig kontrollieren, geht auch mit sehr vielen Freigaben in Sekunden.

fciv.exe \\SERVER1\Freigabe1\Test.jpg -xml C:\Hashwerte.XML
für jede Freigabe eine Zeile, wenn Admins keinen Zugriff auf das Share haben über die disk-Root$ in den Pfad gehen.
fciv.exe -list -xml C:\Hashwerte.XML > C:\Kontrolle.TXT

Wenn in der Datei eine Zeile mit geändertem Hash-Wert auftaucht (Parsen mit VB-Skript oder anderem Monitoring-Tool nach Belieben) melden.

Damit ist zumindest der Umfang der nötigen Restores erkennbar. Das ist schon mal eine große Hilfe.
Anwender könnten Test-Dateien mit DOC oder XLS versehentlich ändern. Ein JPG, das einen Infotext anzeigt, kann man nicht aus Versehen ändern. Ein Trojaner verschlüsselt aber JPG in jedem Fall. Gelöschte Dateien geben keine Fehlermeldung, nur geänderte.

Bewerten
- +
Anzeige