форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Samba, вопросы интеграции Unix и Windows (Разное)
Изначальное сообщение		[ Отслеживать ]

"Взломали SAMBA"	–1 +/–
Сообщение от silent79 (ok) on 07-Апр-17, 12:09
Здравствуйте. Помогите понять, что сделали с данными. Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать. В логах есть вот такое nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1) [2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)   nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK [2017/04/03 04:31:56, 2] smbd/open.c:open_file(391) Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние. В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Взломали SAMBA"	+/–
Сообщение от Сергей (??) on 07-Апр-17, 13:12
> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя > хакером, по порту 445 (который как не странно закрыт в iptables, > как это сделано тоже загадка), и в расшаренных папках убрал все > содержимое, оставив файл с email, куда написать.   Да чел наверное не через самбу зашел, а через что-то другое
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Взломали SAMBA"	+/–
	Сообщение от Sherlock on 07-Апр-17, 20:22
	>> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя >> хакером, по порту 445 (который как не странно закрыт в iptables, >> как это сделано тоже загадка), и в расшаренных папках убрал все >> содержимое, оставив файл с email, куда написать. >   Да чел наверное не через самбу зашел, а через что-то > другое Вот именно, а скорее всего даже была завирусована машина в локалке, которая имела доступ к этой шаре на запись, вот шифровальщик все и зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), с меня требуют 100500 баксов
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Взломали SAMBA"	–1 +/–
	Сообщение от silent79 (ok) on 07-Апр-17, 22:27
	> Вот именно, а скорее всего даже была завирусована машина в локалке, которая > имела доступ к этой шаре на запись, вот шифровальщик все и > зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), > с меня требуют 100500 баксов Нет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Взломали SAMBA"	+/–
	Сообщение от eRIC (ok) on 08-Апр-17, 11:27
	> Нет, тут 100% все произошло не из локальной сети, т.к. в логах > iptables виден ip адрес тот же что и в логах Samba > и обращение шло на 445 порт. значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Взломали SAMBA"	+/–
	Сообщение от count0krsk (ok) on 09-Апр-17, 11:31
	>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах >> iptables виден ip адрес тот же что и в логах Samba >> и обращение шло на 445 порт. > значит он у вас все таки не был закрыт для мира (как > и 137, 139, 445 должны быть закрыты для мира), давно известная > уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле). Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Взломали SAMBA"	+/–
	Сообщение от silent79 (ok) on 09-Апр-17, 12:50
	> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast > трафика, расползания червей и судебных исков. Так что даже если он > был открыт на "сервере", дальше свитча не должен был пролезть. Интернет "поднимается" на сервере и Samba на нем же.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	12. "Взломали SAMBA"	+/–
	Сообщение от count0krsk (ok) on 19-Апр-17, 08:23
	> Интернет "поднимается" на сервере и Samba на нем же. Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Взломали SAMBA"	+/–
Сообщение от tonys (??) on 10-Апр-17, 17:05
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, > поэтому не особо интересны, но все же... Авторизация через winbind в nsswitch.conf прикручена? Доступ извне по ssh к машине есть? В sshd_config есть ограничения в AllowUsers?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Взломали SAMBA"	+/–
	Сообщение от silent79 (ok) on 10-Апр-17, 17:55
	> Авторизация через winbind в nsswitch.conf прикручена? > Доступ извне по ssh к машине есть? > В sshd_config есть ограничения в AllowUsers? нет нет нет Доступ шел именно с интернет IP адреса по порту 445.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Взломали SAMBA"	+/–
	Сообщение от sherlock (ok) on 11-Апр-17, 04:39
	>> Авторизация через winbind в nsswitch.conf прикручена? >> Доступ извне по ssh к машине есть? >> В sshd_config есть ограничения в AllowUsers? > нет > нет > нет > Доступ шел именно с интернет IP адреса по порту 445. Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Взломали SAMBA"	+/–
	Сообщение от silent79 (ok) on 11-Апр-17, 08:44
	> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а > почему же взломали? иногда головой надо думать А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью. Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Взломали SAMBA"	+/–
	Сообщение от sherlock (ok) on 11-Апр-17, 09:32
	> Анализируя логи, IP адрес откуда было это сделано, доступ был только через > samba. 1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!! 2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила. 3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти. 4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё. Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема