我们有一个Windows 2003开发服务器(IIS和SQL Server),具有远程桌面访问权限,一些员工拥有pipe理员权限。
几个星期前,许多重要的文件(dll,exes,msc和其他东西)从system32目录中消失了。 服务器勉强运行(很多错误!!!),我们正在build立另一个。
我假设有人这样做,因为我使用趋势科技进行病毒扫描,一切都很正常。
我怎样才能find谁或这是什么对我们的服务器?
捕捉这种东西的唯一方法是已经有文件级的审计。 事实之后,你找不到。 这种审计是可怕的垃圾邮件,几乎需要某种第三方日志聚合/分析引擎。
如果您可以根据错误首次出现在事件日志中的时间缩小范围,则可以检查login/注销事件,以查看在问题发生时间周围login的人员。 如果通过networking共享进行删除,这将无济于事。
同时,您可以使用修复function来修复安装,而不是设置新的服务器。