Vorrei sapere se c'è un modo per sapere come è stato scritto un file sul mio server (server Windows), cioè se un file X è stato scritto via http o via ftp o con una semplice copia di rete o qualcuno ha creato manualmente questo file ?
Ci sono dei log in Windows che potrebbero darmi queste informazioni? O qualche strumento che potrebbe aiutarmi a raccogliere queste informazioni?
Sospetto una violazione e i registri del server web (IIS) non forniscono molte informazioni.
Non affidabile.
È possibile controllare i registri FTP, i registri IIS e i registri eventi (per l'accesso amministratore al momento della creazione del file), ma se è malevolo e l'attaccante desidera coprire le proprie tracce, la maggior parte di questi file è facile da falsificare / corrotto ecc.
Il modo migliore è quello di essere prepreparati e di avere un sistema che reagisce ai nuovi file che vengono creati (di solito in directory specifiche o con permessi specifici). Il sistema che lo rileva può quindi registrare i servizi in esecuzione, le copie incorruttibili (eventualmente fuori server) dei registri e quali utenti / utenti del servizio hanno effettuato l'accesso in quel momento.
L'unico modo affidabile per controllare / monitorare se un file è stato caricato sul tuo server è fare una registrazione degli hash di tutti i file (di interesse) sul server in un momento specifico, e quindi confrontare il file l'elenco dei file correnti e i loro hash, per vedere se un file è stato caricato (ed è quindi un nuovo file rispetto all'elenco di istantanee) o se è stato modificato (perché l'hash è diverso).
Non è sufficiente controllare i tempi di creazione / accesso / modifica dei file applicati dal sistema operativo in quanto questi possono essere falsificati (falsificati) facilmente.
Questo è un sacco di lavoro, ma ci sono strumenti di integrità dei file là fuori - sia open source che gratuiti, e commerciali, che possono aiutare con la contabilità.
Se hai bisogno di sapere oggi e non hai registrazioni di file e (per il rilevamento dei cambiamenti) i loro hash, allora non c'è un modo affidabile per verificarlo. Il controllo dei file appena creati attraverso una semplice ricerca di file può funzionare se non fa parte di un attacco sofisticato in cui l'attaccante malintenzionato sta cercando di coprire le proprie tracce, ma non è affidabile.
È molto difficile identificare COME un file è arrivato sul tuo computer. I registri dovrebbero essere l'unico modo.
Ma hai menzionato 4 possibilità, che sono (molto) diverse.
Hai menzionato il server web IIS. Come vengono stabiliti i diritti? È imbarazzante vedere che qualcuno potrebbe copiare un file a causa di un abuso del server web. Correggilo, controlla le correzioni / aggiornamenti / patch per la versione che usi. SE esiste un errore.
Quali diritti hanno i tuoi utenti? Se riescono a scrivere su ogni cartella che può causare più danni in futuro. aggiustalo!
Ancora ... diritti utente qui? Perché è stato permesso?
P.S. Sto scrivendo questo perché sospetti una violazione di IIS / altri.
Torna al file che è stato creato. Hai visto le proprietà del file?
Quando è stato creato?
Forse chi è l'autore del file?
Puoi scoprire chi ha scritto il file dal flag del proprietario del file NTFS. Se non si correlano i processi in esecuzione con gli account utente insieme ai log di sistema, non sarà possibile identificare quale processo o applicazione ha effettivamente creato il file.
Potresti anche mettere il watcher del file sul tuo server che ti avviserà di eventuali modifiche ai file. Un'alternativa sarebbe utilizzare un account utente dedicato per eseguire IIS e quindi monitorare i file creati o modificati da questo account utente. Fai riferimento a queste eccellenti risposte su come ottenere ciò: link .
Un file crea o modifica un evento verrà registrato solo se hai abilitato tale registrazione sul tuo server Windows. Una volta abilitato, è possibile utilizzare il visualizzatore di log di sistema per visualizzare gli eventi corrispondenti a una particolare creazione / modifica di file. Vedi questo articolo link (molto vecchio, ma rimane valido) su come impostare la registrazione di file / cartelle tramite locale politica di sicurezza. Puoi anche impostarlo tramite GPO se stai eseguendo il server in un dominio AD.
Per accedere a questi eventi di registro tramite script, è possibile fare riferimento a questo articolo che descrive come utilizzare gli script di Windows PowerShell per ottenere eventi di registro: link
Ho spesso trovato migliore provare prima le soluzioni semplici per eliminare le cause comuni durante l'analisi dei problemi.
Leggi altre domande sui tag iis forensics windows-server file-system