Um dos servidores da nossa empresa parece ter sido vítima de um ataque backdoor php. Eu consegui localizar e fechar vários buracos, mas parece persistir que está escrevendo um backdoor de php / webshell em nosso C: / windows / temp.
O Microsoft Security Essentials parece fazer um bom trabalho ao detectar essa ameaça e removê-la antes que ela seja executada, mas o problema é que preciso visualizar as propriedades de segurança do arquivo para ver qual pool de aplicativos está criando esses arquivos (temos cerca de 16 diferentes sites neste servidor).
Alguém sabe de um programa / forma que eu possa monitorar as gravações de arquivos em C: / windows / temp?
Você deve restaurar a partir de um backup válido. No mínimo, verifique o servidor offline usando um CD de resgate de algum tipo. Com isso fora do caminho ...
Use o Process Explorer para ver profundamente as atividades de processos e arquivos. Você também pode usar a política de segurança para auditar o acesso ao sistema de arquivos . No entanto, como o servidor está comprometido, eu não confiaria em nada que ele me dissesse.
(Clique na imagem! Você vai gostar!)
Para uma resposta única, o Process Monitor do Microsoft Sysinternals assistirá a qualquer atividade de arquivo desejada e um pouco mais.