https://www.opennet.dev/openforum/vsluhforumID14/2698.html Здравствуйте. Помогите понять, что сделали с данными.<br>Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.<br>В логах есть вот такое <br>nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)<br>[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)<br> nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK<br>[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)<br>Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.<br>В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...<br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#12 Wed, 19 Apr 2017 05:23:17 GMT &gt; Интернет "поднимается" на сервере и Samba на нем же.<br><br>Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст. <br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#11 Tue, 11 Apr 2017 06:32:20 GMT <br>&gt; Анализируя логи, IP адрес откуда было это сделано, доступ был только через <br>&gt; samba.<br><br>1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!<br>2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.<br><br>3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.<br><br>4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.<br><br>Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.<br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#10 Tue, 11 Apr 2017 05:44:13 GMT &gt; Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а <br>&gt; почему же взломали? иногда головой надо думать <br><br>А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью.<br><br>Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.<br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#9 Tue, 11 Apr 2017 01:39:54 GMT &gt;&gt; Авторизация через winbind в nsswitch.conf прикручена?<br>&gt;&gt; Доступ извне по ssh к машине есть?<br>&gt;&gt; В sshd_config есть ограничения в AllowUsers?<br>&gt; нет <br>&gt; нет <br>&gt; нет <br>&gt; Доступ шел именно с интернет IP адреса по порту 445.<br><br>Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать<br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#8 Mon, 10 Apr 2017 14:55:27 GMT &gt; Авторизация через winbind в nsswitch.conf прикручена?<br>&gt; Доступ извне по ssh к машине есть?<br>&gt; В sshd_config есть ограничения в AllowUsers?<br><br>нет<br>нет<br>нет<br><br>Доступ шел именно с интернет IP адреса по порту 445. <br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#7 Mon, 10 Apr 2017 14:05:02 GMT &gt; В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, <br>&gt; поэтому не особо интересны, но все же...<br><br>Авторизация через winbind в nsswitch.conf прикручена? <br>Доступ извне по ssh к машине есть?<br>В sshd_config есть ограничения в AllowUsers? <br><br><br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#6 Sun, 09 Apr 2017 09:50:31 GMT &gt; Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast <br>&gt; трафика, расползания червей и судебных исков. Так что даже если он <br>&gt; был открыт на "сервере", дальше свитча не должен был пролезть.<br><br>Интернет "поднимается" на сервере и Samba на нем же.<br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#5 Sun, 09 Apr 2017 08:31:00 GMT &gt;&gt; Нет, тут 100% все произошло не из локальной сети, т.к. в логах <br>&gt;&gt; iptables виден ip адрес тот же что и в логах Samba <br>&gt;&gt; и обращение шло на 445 порт.<br>&gt; значит он у вас все таки не был закрыт для мира (как <br>&gt; и 137, 139, 445 должны быть закрыты для мира), давно известная <br>&gt; уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).<br><br>Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть. <br> https://www.opennet.dev/openforum/vsluhforumID14/2698.html#4 Sat, 08 Apr 2017 08:27:40 GMT &gt; Нет, тут 100% все произошло не из локальной сети, т.к. в логах <br>&gt; iptables виден ip адрес тот же что и в логах Samba <br>&gt; и обращение шло на 445 порт.<br><br>значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).<br><br><br>