none
Dateien werden vom Prozess "System" gelöscht RRS feed

  • Frage

  • Hi Community,

    seit 3 Tagen werden auf unserem Dateiserver (Server 2008 R2 x64) um die Mittagszeit (einmal 11:40 Uhr, einmal 12:36 Uhr) Dateien gelöscht - ungewollt.
    Nach dem ersten Vorfall haben wir die Dateizugriffsüberwachung aktiviert und konnten somit am nächsten Tag nachvollziehen, dass die Dateien mit dem Konto des Servers selbst gelöscht werden. Ich habe den Computernamen durch "SERVER" und den DomänenNamen durch "domain" ersetzt.

    Das Event-Log sieht wie folgt aus

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4663</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12800</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2012-07-25T10:36:49.757852700Z" />
        <EventRecordID>1296059</EventRecordID>
        <Correlation />
        <Execution ProcessID="4" ThreadID="84" />
        <Channel>Security</Channel>
        <Computer>server.domain.loc</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">SERVER$</Data>
        <Data Name="SubjectDomainName">DOMAIN</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="ObjectServer">Security</Data>
        <Data Name="ObjectType">File</Data>
        <Data Name="ObjectName">E:\Daten\File.txt</Data>
        <Data Name="HandleId">0xa24</Data>
        <Data Name="AccessList">%%1537
    				</Data>
        <Data Name="AccessMask">0x10000</Data>
        <Data Name="ProcessId">0x4</Data>
        <Data Name="ProcessName">
        </Data>
      </EventData>
    </Event>
    Über den ProcessExplorer lässt sich auch sehen, dass Prozess-ID = 4 Schuld ist, was dem Prozess "System" entspricht.
    Habt ihr schon mal so ein Fehlerbild gesehen? Was kann den Systemprozess dazubringen so etwas durchzuführen?

    Mittwoch, 25. Juli 2012 13:29

Antworten


  • Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?


    Mit nem Trick doch: Blende mal noch die Sequenz-Nummern ein und nimm den Datei-Filter wieder raus, dann erhältst Du so was hier:



    Hinter dem ausgeschwärzten sehe ich den Client, von dem der Delete-Request kam.

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Bearbeitet Martin Binder Donnerstag, 26. Juli 2012 14:32 Bild eingefügt...
    • Als Antwort markiert philipp-b Donnerstag, 2. August 2012 07:33
    Donnerstag, 26. Juli 2012 14:21
  • Nach gut einer Woche komme ich zum Fazit, dass die Dateien nicht vom Server selbst gelöscht wurden, sondern von irgendeinem Linux User, der per Samba auf den Share zugreift. Leider ist das Eventlog nicht aussagekräftig genug um das handfest beweisen zu können ;)

    Danke an alle hilfreichen Tipps !

    Donnerstag, 2. August 2012 07:33

Alle Antworten

  •  
    >      <Data Name="AccessList">%%1537
    >                 </Data>
    >      <Data Name="AccessMask">0x10000</Data>
     
    Und was steckt hier dahinter? Wenn Du nicht die XML-Ansicht wählst,
    steht da Text ;-)
    Ich hätte aber noch nie gehört, daß SYSTEM einfach so auf die Idee
    kommt, Files zu löschen?!?
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 25. Juli 2012 14:56
  • Danke für die Antwort,

    Die textausgabe gibt leider auch nicht mehr her

    HandleId 0xa7c
    AccessList %%1537
    AccessMask 0x10000
    ProcessId 0x4
    ProcessName

    Ich werde nun per Richtlinie die Anmeldungen mitprotokollieren, evtl. kann ich über die SubjectLogonId neue Erkenntnisse gewinnen...

    Auch interessant ist, dass bei einem erlaubten Löschvorgang über die Freigabe die gleiche AccessList angezeigt wird?!

                   
    Mittwoch, 25. Juli 2012 15:24
  • Am 25.07.2012 schrieb philipp-b:

    seit 3 Tagen werden auf unserem Dateiserver (Server 2008 R2 x64) um die Mittagszeit (einmal 11:40 Uhr, einmal 12:36 Uhr) Dateien gelöscht - ungewollt.

    Wirklich täglich immer die gleichen Dateien?

    Nach dem ersten Vorfall haben wir die Dateizugriffsüberwachung aktiviert und konnten somit am nächsten Tag nachvollziehen, dass die Dateien mit dem Konto des Servers selbst gelöscht werden. Ich habe den Computernamen durch "SERVER" und den DomänenNamen durch "domain" ersetzt.

    Läuft ein AV-Scanner amok?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 25. Juli 2012 18:35
  • @Winfried Sonntag: Es handelt sich dabei um ein bestimmtest verzeichnis welches auch freigeben ist. Bsp: E:\Daten

    Andere Ordner der gleichen Partition sind nicht betroffen. Es werden auch nur ca. 80% gelöscht, d.h. es bleibt einiges bestehen. Ob dieses Dateien zum Zeitpunkt gerade verwendet werden, kann ich nicht sagen. AV-Scanner ist erst seit dem zweiten Vorfall installiert, bringt aber auch keine Befunde.

    Donnerstag, 26. Juli 2012 04:13
  •  
    >
    > **
    >    
    >
    >
    >    
    >     *AccessList*     %%1537
    >
    >
    >    
    >    
    >    
    >
    >
     Auf dem "ursprünglichen" System stand da sicher nicht %%1537 :-)
    Das sah eher so aus:
     
    Access Request Information:
    Accesses: DELETE
    Access Mask: 0x10000
     
    Wird also bei Dir auch DELETE sein. Nur "warum", das kann ich auch noch
    nicht erklären... Process Monitor sollte hier Aufschluß geben - SYSTEM
    wird das sicher nicht aus eigenem Antrieb tun.
     
    Wenn Du vorhersehen kannst, welche Dateien gelöscht werden, kannst Du ja
    nen passenden Filter setzen.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 26. Juli 2012 07:53
  • Hi Martin,

    danke für deine Antwort!

    bzgl. der Detail-Ausgabe des Events hast du Recht,ich vermute dass AccessList einfach nicht angzeigt werden soll:

    Zugriffsanforderungsinformationen:
        Zugriffe:    DELETE
        Zugriffsmaske:    0x10000

    Process Monitor:

    Gute Idee, der läuft auch schon seit heute morgen. Wenn ich über die Freigabe gezielt eine Datei lösche, ist dies im ProcessMonitor ersichtlich, jedoch unter dem Benutzer "NT-AUTORITÄT\SYSTEM"

    Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?

    Donnerstag, 26. Juli 2012 08:58

  • Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?


    Mit nem Trick doch: Blende mal noch die Sequenz-Nummern ein und nimm den Datei-Filter wieder raus, dann erhältst Du so was hier:



    Hinter dem ausgeschwärzten sehe ich den Client, von dem der Delete-Request kam.

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Bearbeitet Martin Binder Donnerstag, 26. Juli 2012 14:32 Bild eingefügt...
    • Als Antwort markiert philipp-b Donnerstag, 2. August 2012 07:33
    Donnerstag, 26. Juli 2012 14:21
  • Zuerst: Gestern 26.7. ist nix gelöscht worden.

    @Martin: In welcher Spalte siehst du den Client? Ich sehe auch die Operation "SetDispositionInformationFile" mit Detail "Delete: True" aber sonst nichts.

    Oder meinst du die TCP Pakete davor und danach?

    EDIT: Neue Erkenntnis: Im Eventlog werden Datei-Löschvorgänge unter dem Account "SERVER$" und dem Prozess "SYSTEM" gelogged, wenn die Aktion von einem Linux Client ausgeführt wird. Insofern könnte das schon die Erkärung sein...

    • Bearbeitet philipp-b Freitag, 27. Juli 2012 11:24
    Freitag, 27. Juli 2012 07:00
  • Hi Raul & Martin,

    bisher ist es zu keinem weiteren Datenverlust gekommen. Ich hege die Vermutung dass einer unserer Linux-Anwender die Kommandos "STRG+A" in Kombination mit "ENTF" im falschen Verzeichnis verwendet hat. Ein Beweis ist leider nicht möglich, da - wie oben beschrieben - das Eventlog nur den Systemprozess ausspuckt.

    Montag, 30. Juli 2012 11:35
  • Nach gut einer Woche komme ich zum Fazit, dass die Dateien nicht vom Server selbst gelöscht wurden, sondern von irgendeinem Linux User, der per Samba auf den Share zugreift. Leider ist das Eventlog nicht aussagekräftig genug um das handfest beweisen zu können ;)

    Danke an alle hilfreichen Tipps !

    Donnerstag, 2. August 2012 07:33
  •  
    > Oder meinst du die TCP Pakete davor und danach?
     
    Genau die. Der Verursacher muß ja "in der Nähe" des Löschvorgangs zu
    finden sein.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Montag, 6. August 2012 08:13