Хочу спросить, нет ли способа или программы узнать с какого ІР создается файл в расшареной папке.
Ситуация такая - стоит комп на Кубунту с расшареными папками и в них постоянно появляются троянские ехе-шники. Комп подключен к корпоративной локалке и к интернету (АДСЛ) и хотелось бы выяснить кто бросает бомбы.
Тебе нужен журнал ? Или в реальном времени посмотреть, что приходит на каких портах ?
Как насчёт почитать:
/var/log/samba/*.log
Там. что-то на подобии этого написано, уверян, пригодится:
Дело в том что в логах нашел кто вобще получал доступ к ресурсу. Например кусочек с моего лога
[2009/06/02 16:09:21, 1] smbd/service.c:make_connection_snum(1111)
employment (10.1.186.30) connect to service cz_backup initially as user nobody (uid=65534, gid=65534) (pid 7022)
[2009/06/02 16:17:46, 1] smbd/service.c:close_cnum(1323)
employment (10.1.186.30) closed connection to service cz_backup
Но в нем нет конкретно кто какой файл создал/удалил. А поскольку к каталогу постоянно обращаются куча машин, найти конкретную не так просто.
Тема интересная, надо подумать.
Можно посмотреть в сторону dazuko -- с его помощью можно отслеживать доступ к файлам и папкам (создание, открытие, изменение и т.д.) применяется в некоторых антивирусах.
Но это всего-лишь модуль ядра, который предоставляет интерфейс для получения информации, сам по себе будет бесполезен.
Может есть какие программки, которые его используют...
Отправить комментарий