Кто-то в шару скинул вирус. КТО?????

Автор: jogick Дата: 02.12.2008 15:40 Сижу в сетке с виндовыми тачками, у меня ASP 12. Так вот сегодня в шаре появился вирусный файл, вирус под винду, но всёравно неприятно.
Полез первй раз в логи самбы, а там как оказалосьс нет информации с какой машины заходили и что делали. Вернее с какаих машин заходили видно, а вот что делали, нет.
Как настроить самбу так чтобы в логах были все действия посетителя ( что смотрел, что записал)???
Re: Кто-то в шару скинул вирус. КТО????? 06.12.2008 12:20Timbo А что, в /var/log/*.log не прописаны действия на вашем аспе ?
Я сам туда давно не лазил, правда...

Чтобы вирусы убивались можно попробовать настроить SeLinux или clamav, или поставить
через wine ClamWin и им отлавливать вредоносный код.
Вирус то экзшный ? Али червь ?
Re: Кто-то в шару скинул вирус. КТО????? 06.12.2008 23:56jogick Спасибо конечно, но уже сам разобрался. У меня логи то велись, но в них ничего небыло, уровень подробности стоял на нуле. Нужно было просто узнать с какой машины в сети эта зараза пришла. Сам файл я удалил, но когда его на следующий день его заново рассылали, тут источник и попался. Он тупо рассылал себя во все шары, на всех машинах сети, конкретнее не знаю, такой задачи не стояло.
Re: Кто-то в шару скинул вирус. КТО????? 08.12.2008 18:56smaharbA а ты уверен, что это именно тот комп ?
Re: Кто-то в шару скинул вирус. КТО????? 09.12.2008 22:18jogick Абсолютно, имя лога состоит из постоянной части log и имени или IP-адреса машины, которая подключалась. В логах было только несколько машин. Только в логах одной упоминался "нужный" файл. Причём несколько раз.
Сразу вопрос, а где почитать о том как правильно разбирать логи?
Re: Кто-то в шару скинул вирус. КТО????? 09.12.2008 23:51BigAndy Так они не двоичные. Чего их разбирать? Читаешь - и все. Можно периодически в БД их вносить.
Re: Кто-то в шару скинул вирус. КТО????? 10.12.2008 17:03jogick Тогда как понимать следующее?

[2008/11/25 15:39:18, 0] auth/auth_util.c:create_builtin_administrators(792)
create_builtin_administrators: Failed to create Administrators
[2008/11/25 15:39:18, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users

Такое есть в логах только одной машины, а это машина местного сисадмина.
Re: Кто-то в шару скинул вирус. КТО????? 10.12.2008 18:18BigAndy Кто-то думает, что это масдай и пытается создать эти группы/юзверей?
smb/nmb/winbind порты открыты?
Re: Кто-то в шару скинул вирус. КТО????? 10.12.2008 18:41jogick Вообще открыты. Я их специально открыл, то бы нормально в сети работать, а то вечно кто-нибудь неможет на мои шары попасть.
Спасибо большое.
Re: Кто-то в шару скинул вирус. КТО????? 18.12.2008 13:46Ruwа в описании шары пропиши
vfs object = full_audit
full_audit:prefix = share=%S; id=%U; ip= %I -->
full_audit:success = rmdir mkdir write rename write aio_write pwrite
full_audit:failure = rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO

будешь в логах витель типа:
Nov 29 14:06:36 ss smbd_audit: share=docu; id=ruwa; ip=10.25.0.12 -->|pwrite|ok|cdrw/w2k3-R2_std/I386/CAMVID20.IN_
кто записал, удалил. с какой машины.
RSS-материал