Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Affichage des résultats 1 à 7 sur 7
  1. #1
    Yay. On a un problème un peu spécial au boulot ; environ une fois par jour (entre 10 et 14h généralement), l'exécutable de notre logiciel pro se fait supprimer par un truc inconnu.
    Microsoft Security Essentials est hors de cause et les postes sont tout neufs, en Win8.1.
    Est-ce qu'il y aurait un moyen de surveiller ce .exe pour découvrir quel petit malin s'amuse à le bazarder ?

    (Le support dudit soft est convaincu que le souci vient de chez nous -on serait leurs seuls clients chez qui ça se produit- mais j'ai un doute quand même : un jour, en plus de l'.exe, c'est aussi les fichiers de config en xml qui ont été viré)
    Citation Envoyé par O.Boulon Voir le message
    Chouette topic.
    C'est le genre de truc qui couronne des années de modération impitoyable et d'insultes lancées au hasard.

  2. #2

  3. #3
    Ah oui, mais je soupçonne un programme à la con, pas un utilisateur. L'audit ne me permettra pas de le griller...? Je saurai que le fichier a été supprimé par l'utilisateur "magasin" et ça va me faire une belle jambe
    Citation Envoyé par O.Boulon Voir le message
    Chouette topic.
    C'est le genre de truc qui couronne des années de modération impitoyable et d'insultes lancées au hasard.

  4. #4
    Ben tu sauras déjà si c'est un utilisateur réel ou un programme qui déconne. Après, tu dois pouvoir mettre en place en même temps un audit de tous les programmes qui tournent. Ainsi tu pourras filtrer.
    Si ton exe est lancé via un partage réseau, tu pourras aussi détecter si ce n'est pas un virus sur un poste client qui le supprime.

    Pendant que j'y pense, jette un oeil aux logs de ton antivirus, au cas où ce soit lui qui trouve un faux positif.
    Dernière modification par deathdigger ; 04/06/2015 à 21h35.

  5. #5
    Bon, j'ai revérifié tous les postes cet aprem et ajouté le répertoire de l'exe en exception, ainsi que l'exe lui-même et la copie qui en est collée à chaque lancement dans C:\TMP\ (si j'ai bien compris, le poste client lance l'exe situé sur le serveur, qui se copie dans le dossier TMP du client, et c'est cette copie qui est effectivement exécutée. Mais bon, faut pas chercher). Les machines clientes sont toutes blindées niveau exceptions maintenant, mais de toute façon, aucun des logs de leur Windows Defender ne faisait état d'éléments supprimés (mais j'ai l'impression que les logs ne sont pas vraiment affichés sur un compte non-admin). A mon avis, ça ne résoudra pas le problème.
    Pour que ce soit moins chiant, j'ai écrit un petit script batch tout con qui tourne en boucle sur le serveur en vérifiant toutes les cinq secondes la présence de l'exe et du fichier de config, les restaure automatiquement* dés qu'ils disparaissent et note la date/heure de suppression dans un log.
    Aujourd'hui, on a eu trois suppressions. L'exe et le fichier de config sont effacés à la même seconde à chaque fois.
    Ca aurait plutôt tendance à disculper les Windows Defender ; un faux positif sur un exe, passe encore, mais sur un pauvre xml...

    *Au début, j'en conservais une copie dans un dossier "backup" situé dans le même répertoire que l'exe qui se fait mettre à mort, mais ces copies ont elles aussi été supprimées, une fois. Dans le répertoire du niveau immédiatement supérieur, ça a l'air safe.
    Dernière modification par Dark Fread ; 27/06/2015 à 22h28.
    Citation Envoyé par O.Boulon Voir le message
    Chouette topic.
    C'est le genre de truc qui couronne des années de modération impitoyable et d'insultes lancées au hasard.

  6. #6
    T'aurais pas un poste utilisateur qui aurait un autre anti-virus d'installé, genre le norton gratuit qui se glisse parfois dans des maj flash ?
    Parce que si dans ton dossier de backup il a été supprimé alors que personne ne l'a lancé de cet endroit, c'est bien que le problème vient de chez vous

  7. #7
    Citation Envoyé par deathdigger Voir le message
    alors que personne ne l'a lancé de cet endroit
    Pas sûr, j'avais commencé un script de restauration bien crade en m'emmêlant les pédales, je crois qu'à un moment il lançait l'exe de backup

    Mais l'antivirus installé en douce est une piste, je n'y avais point songé.
    Citation Envoyé par O.Boulon Voir le message
    Chouette topic.
    C'est le genre de truc qui couronne des années de modération impitoyable et d'insultes lancées au hasard.

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •