August 29, 2007

Investigating File Deletion from Windows File Servers - Part I

I have found myself in this situation a few times now: some critical files disappear from a file server and I am tasked to find out how it happened.

Sometimes I was able to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistery, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times I couldn't. The most important factor is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information available for me to investigate. Give me a full network trace of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server's traffic and lots of auditing information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's logs and I'll tell you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of success are pretty high. Take away any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se elements and things become much more difficult.

Possible causes for important files 'magically' disappearing from a Windows file server are almost infinite. Just to name a few, it could be a bug in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (I haven't seen this kind of bug in many years, but it's certainly possible), malicious software running in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server (this I've seen much more often), or a malicious system administrator or user error (even more often).

Yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r possibility is that someone with valid aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials (e.g. username and password) accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal Windows file sharing protocol (SMB/CIFS) and simply deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, intentionally or unintentionally. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case that I'll be analyzing in detail in this series of articles.

So, how far could you go into finding out who, when, how, and from where removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files if all you had was a network trace? And if you didn't have a network trace but you had system logs? Do you want to try?

Let us start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network trace. Here you can find a network capture file, in pcap format (tcpdump, wireshark, etc.) obtained in a lab environment simulating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion of some files from a file server. The lab network was just a single Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet segment with two systems: a Windows XP (client) and a Windows Server 2003 (server).

If you want to play around with it, (just for fun and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 learning experience, no prizes this time, sorry) you can try to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following questions:

Q1 - How many files were deleted?
Q2 - When?
Q3 - How?
Q4 - Who did it?
Q5 - From where?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next article in this series I'll be showing how to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network capture file provided. So, stay tuned!

Labels: ,

2 Comments:

Anonymous Anonymous said...

Hi,
David you mention that in this case you'll analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion of files by cifs/smb.
That means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only deleted files were deleted by smb/cifs, or we should pay attention to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protocols for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deletion?
Thanks

10:50 PM  
Blogger David Perez said...

Hi Isaac,

Yes, in this case files were deleted through SMB only.

BTW, I expect to post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series by next week.

David.

11:07 PM  

Post a Comment

<< Home