Olá Marcelo,
Já tive um problema bem semelhante ao seu.
Resolvi quando montei uma auditoria de log nessa pasta, foi tiro e queda, a
máquina nem no meu segmento de rede estava e consegui identificá-la
certinho.
Segue abaixo o mini how to que utilizei na época.
Detalhe: montei auditoria com o samba e o syslog-ng, já vi funcionar com o
rsyslog também.
*
*
*
*
*
*
*
*
*
*
*Auditoria de uma pasta compartilhada com o samba, syslog-nr e o Ubuntu
10.04*
*Pré-requisitos: **instalação do samba (atualmente estou usando a versão
3.4.7)*
*Instalação do syslog-ng, versão utilizada 2.0.9-4.2, ambos podem ser
instalados facilmente via synaptic*
*Arquivo /etc/samba/smb.conf*
* Na seção global, adicionar as linhas abaixo*
full_audit:prefix = %u|%I|%S
full_audit:failure = connect
full_audit:success = connect disconnect opendir mkdir rmdir closedir open
close read pread write pwrite sendfile rename unlink chmod
fchmod chown fchown chdir ftruncate lock symlink readlink link mknod
realpath
full_audit:facility = local5
full_audit:priority = notice
*No compartilhamento da pasta de rede, adicionar a linha para a pasta a
ser auditada:*
vfs objects = full_audit
*Arquivo /etc/syslog-ng.conf*
No final do arquivo, adicionar as linhas abaixo:
# Auditoria das Pastas compartilhadas no samba
, lembrando que o arquivo resultante ficará em /var/log/samba/audit.log
filter f_local5 {facility(local5);};
destination m_samba_audit { file("/var/log/samba/audit.log"); };
log { source(s_all); filter(f_local5);destination(m_samba_audit);
flags(final); };
Pronto, agora é só reiniciar os serviços do samba e do syslog-ng
(/etc/init.d/smbd restart e /etc/init.d/syslog-ng restart) e conferir quais
são os micros que estão disseminando vírus na rede.
Em 7 de junho de 2013 09:59, Marcelo da Silva <marc...@ig.com.br> escreveu:
> Pessoal, imagino que seja bem dificil, mas vou perguntar, vai que...
>
> Hoje tenho o servidor Kubuntu, onde compartilho pastas, essas pastas são
> compartilhadas a convidados, ou seja, não é preciso ter um nome de usuário
> e senha no linux para o usuário windows entrar.
> Desta forma todos gravam arquivos e as propriedades ficam assim:
>
> Proprietario: nobody
> Grupo: nogroup
>
> Bem, assim fica dificil saber de que IP veio o tal arquivo, mas como o
> Linux sempre tem uma carta na manga, gostaria de saber se consigo ver quem
> gravou o tal arquivo.
>
> Por que?
>
> Bem, existe uma maquina na rede windows, que está com virus e essa porcaria
> de virus está gravando arquivos doidos no servidor, eu teria que ver uma a
> uma quem está com virus, bem vou fazer isso mais tarde, mas por hora,
> queria ver qual maquina esta gravando esses arquivos pra ir direto ao
> ponto.
>
> Será que dá?
>
> --
> Marcelo Silva
> ----------------------------------------------------------------
> Desenvolvedor Delphi / PHP
> My Postgres database
> Cel.: (11) 99693-4251
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Paulo Oliveira.
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
