Benutzer mit den meisten Antworten
Dateien werden vom Prozess "System" gelöscht

Frage
-
Hi Community,
seit 3 Tagen werden auf unserem Dateiserver (Server 2008 R2 x64) um die Mittagszeit (einmal 11:40 Uhr, einmal 12:36 Uhr) Dateien gelöscht - ungewollt.
Nach dem ersten Vorfall haben wir die Dateizugriffsüberwachung aktiviert und konnten somit am nächsten Tag nachvollziehen, dass die Dateien mit dem Konto des Servers selbst gelöscht werden. Ich habe den Computernamen durch "SERVER" und den DomänenNamen durch "domain" ersetzt.Das Event-Log sieht wie folgt aus
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4663</EventID> <Version>0</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2012-07-25T10:36:49.757852700Z" /> <EventRecordID>1296059</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="84" /> <Channel>Security</Channel> <Computer>server.domain.loc</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SERVER$</Data> <Data Name="SubjectDomainName">DOMAIN</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">E:\Daten\File.txt</Data> <Data Name="HandleId">0xa24</Data> <Data Name="AccessList">%%1537 </Data> <Data Name="AccessMask">0x10000</Data> <Data Name="ProcessId">0x4</Data> <Data Name="ProcessName"> </Data> </EventData> </Event>
Über den ProcessExplorer lässt sich auch sehen, dass Prozess-ID = 4 Schuld ist, was dem Prozess "System" entspricht.
Habt ihr schon mal so ein Fehlerbild gesehen? Was kann den Systemprozess dazubringen so etwas durchzuführen?
Antworten
-
Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?
Mit nem Trick doch: Blende mal noch die Sequenz-Nummern ein und nimm den Datei-Filter wieder raus, dann erhältst Du so was hier:
Hinter dem ausgeschwärzten sehe ich den Client, von dem der Delete-Request kam.
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!- Bearbeitet Martin Binder Donnerstag, 26. Juli 2012 14:32 Bild eingefügt...
- Als Antwort markiert philipp-b Donnerstag, 2. August 2012 07:33
-
Nach gut einer Woche komme ich zum Fazit, dass die Dateien nicht vom Server selbst gelöscht wurden, sondern von irgendeinem Linux User, der per Samba auf den Share zugreift. Leider ist das Eventlog nicht aussagekräftig genug um das handfest beweisen zu können ;)
Danke an alle hilfreichen Tipps !
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Montag, 6. August 2012 08:43
Alle Antworten
-
> <Data Name="AccessList">%%1537> </Data>> <Data Name="AccessMask">0x10000</Data>Und was steckt hier dahinter? Wenn Du nicht die XML-Ansicht wählst,steht da Text ;-)Ich hätte aber noch nie gehört, daß SYSTEM einfach so auf die Ideekommt, Files zu löschen?!?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Danke für die Antwort,
Die textausgabe gibt leider auch nicht mehr her
HandleId 0xa7c AccessList %%1537 AccessMask 0x10000 ProcessId 0x4 ProcessName Ich werde nun per Richtlinie die Anmeldungen mitprotokollieren, evtl. kann ich über die SubjectLogonId neue Erkenntnisse gewinnen...
Auch interessant ist, dass bei einem erlaubten Löschvorgang über die Freigabe die gleiche AccessList angezeigt wird?!
-
Am 25.07.2012 schrieb philipp-b:
seit 3 Tagen werden auf unserem Dateiserver (Server 2008 R2 x64) um die Mittagszeit (einmal 11:40 Uhr, einmal 12:36 Uhr) Dateien gelöscht - ungewollt.
Wirklich täglich immer die gleichen Dateien?
Nach dem ersten Vorfall haben wir die Dateizugriffsüberwachung aktiviert und konnten somit am nächsten Tag nachvollziehen, dass die Dateien mit dem Konto des Servers selbst gelöscht werden. Ich habe den Computernamen durch "SERVER" und den DomänenNamen durch "domain" ersetzt.
Läuft ein AV-Scanner amok?
Servus
Winfried
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/ -
@Winfried Sonntag: Es handelt sich dabei um ein bestimmtest verzeichnis welches auch freigeben ist. Bsp: E:\Daten
Andere Ordner der gleichen Partition sind nicht betroffen. Es werden auch nur ca. 80% gelöscht, d.h. es bleibt einiges bestehen. Ob dieses Dateien zum Zeitpunkt gerade verwendet werden, kann ich nicht sagen. AV-Scanner ist erst seit dem zweiten Vorfall installiert, bringt aber auch keine Befunde.
-
>> **>>>>> *AccessList* %%1537>>>>>>>Auf dem "ursprünglichen" System stand da sicher nicht %%1537 :-)Das sah eher so aus:Access Request Information:Accesses: DELETEAccess Mask: 0x10000Wird also bei Dir auch DELETE sein. Nur "warum", das kann ich auch nochnicht erklären... Process Monitor sollte hier Aufschluß geben - SYSTEMwird das sicher nicht aus eigenem Antrieb tun.Wenn Du vorhersehen kannst, welche Dateien gelöscht werden, kannst Du janen passenden Filter setzen.mfg Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Hi Martin,
danke für deine Antwort!
bzgl. der Detail-Ausgabe des Events hast du Recht,ich vermute dass AccessList einfach nicht angzeigt werden soll:
Zugriffsanforderungsinformationen:
Zugriffe: DELETE
Zugriffsmaske: 0x10000Process Monitor:
Gute Idee, der läuft auch schon seit heute morgen. Wenn ich über die Freigabe gezielt eine Datei lösche, ist dies im ProcessMonitor ersichtlich, jedoch unter dem Benutzer "NT-AUTORITÄT\SYSTEM"
Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?
-
Insofern habe ich die Befürchtung, dass ich bei einem erneuten Auftreten nicht viel neue Informationen erhalten werde. Wie kann ich mit der Information aus dem Process Monitor den Verursacher näher eingrenzen?
Mit nem Trick doch: Blende mal noch die Sequenz-Nummern ein und nimm den Datei-Filter wieder raus, dann erhältst Du so was hier:
Hinter dem ausgeschwärzten sehe ich den Client, von dem der Delete-Request kam.
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!- Bearbeitet Martin Binder Donnerstag, 26. Juli 2012 14:32 Bild eingefügt...
- Als Antwort markiert philipp-b Donnerstag, 2. August 2012 07:33
-
Zuerst: Gestern 26.7. ist nix gelöscht worden.
@Martin: In welcher Spalte siehst du den Client? Ich sehe auch die Operation "SetDispositionInformationFile" mit Detail "Delete: True" aber sonst nichts.
Oder meinst du die TCP Pakete davor und danach?
EDIT: Neue Erkenntnis: Im Eventlog werden Datei-Löschvorgänge unter dem Account "SERVER$" und dem Prozess "SYSTEM" gelogged, wenn die Aktion von einem Linux Client ausgeführt wird. Insofern könnte das schon die Erkärung sein...
- Bearbeitet philipp-b Freitag, 27. Juli 2012 11:24
-
Hallo,
bist Du inzwischen weitergekommen?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Hi Raul & Martin,
bisher ist es zu keinem weiteren Datenverlust gekommen. Ich hege die Vermutung dass einer unserer Linux-Anwender die Kommandos "STRG+A" in Kombination mit "ENTF" im falschen Verzeichnis verwendet hat. Ein Beweis ist leider nicht möglich, da - wie oben beschrieben - das Eventlog nur den Systemprozess ausspuckt.
-
Nach gut einer Woche komme ich zum Fazit, dass die Dateien nicht vom Server selbst gelöscht wurden, sondern von irgendeinem Linux User, der per Samba auf den Share zugreift. Leider ist das Eventlog nicht aussagekräftig genug um das handfest beweisen zu können ;)
Danke an alle hilfreichen Tipps !
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Montag, 6. August 2012 08:43
-
> Oder meinst du die TCP Pakete davor und danach?Genau die. Der Verursacher muß ja "in der Nähe" des Löschvorgangs zufinden sein.
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!