Взломали SAMBA, silent79, 07-Апр-17, 12:09 [смотреть все]Здравствуйте. Помогите понять, что сделали с данными. Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать. В логах есть вот такое nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1) [2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406) nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK [2017/04/03 04:31:56, 2] smbd/open.c:open_file(391) Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние. В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...
|
- Взломали SAMBA, Сергей, 13:12 , 07-Апр-17 (1)
> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя > хакером, по порту 445 (который как не странно закрыт в iptables, > как это сделано тоже загадка), и в расшаренных папках убрал все > содержимое, оставив файл с email, куда написать. Да чел наверное не через самбу зашел, а через что-то другое
- Взломали SAMBA, Sherlock, 20:22 , 07-Апр-17 (2)
>> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя >> хакером, по порту 445 (который как не странно закрыт в iptables, >> как это сделано тоже загадка), и в расшаренных папках убрал все >> содержимое, оставив файл с email, куда написать. > Да чел наверное не через самбу зашел, а через что-то > другое Вот именно, а скорее всего даже была завирусована машина в локалке, которая имела доступ к этой шаре на запись, вот шифровальщик все и зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), с меня требуют 100500 баксов
- Взломали SAMBA, silent79, 22:27 , 07-Апр-17 (3) –1
> Вот именно, а скорее всего даже была завирусована машина в локалке, которая > имела доступ к этой шаре на запись, вот шифровальщик все и > зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), > с меня требуют 100500 баксов Нет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.
- Взломали SAMBA, eRIC, 11:27 , 08-Апр-17 (4)
> Нет, тут 100% все произошло не из локальной сети, т.к. в логах > iptables виден ip адрес тот же что и в логах Samba > и обращение шло на 445 порт.значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).
- Взломали SAMBA, count0krsk, 11:31 , 09-Апр-17 (5)
>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах >> iptables виден ip адрес тот же что и в логах Samba >> и обращение шло на 445 порт. > значит он у вас все таки не был закрыт для мира (как > и 137, 139, 445 должны быть закрыты для мира), давно известная > уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.
- Взломали SAMBA, silent79, 12:50 , 09-Апр-17 (6)
> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast > трафика, расползания червей и судебных исков. Так что даже если он > был открыт на "сервере", дальше свитча не должен был пролезть.Интернет "поднимается" на сервере и Samba на нем же.
- Взломали SAMBA, count0krsk, 08:23 , 19-Апр-17 (12)
> Интернет "поднимается" на сервере и Samba на нем же.Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.
- Взломали SAMBA, tonys, 17:05 , 10-Апр-17 (7)
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, > поэтому не особо интересны, но все же...Авторизация через winbind в nsswitch.conf прикручена? Доступ извне по ssh к машине есть? В sshd_config есть ограничения в AllowUsers?
- Взломали SAMBA, silent79, 17:55 , 10-Апр-17 (8)
> Авторизация через winbind в nsswitch.conf прикручена? > Доступ извне по ssh к машине есть? > В sshd_config есть ограничения в AllowUsers?нет нет нет Доступ шел именно с интернет IP адреса по порту 445.
- Взломали SAMBA, sherlock, 04:39 , 11-Апр-17 (9)
>> Авторизация через winbind в nsswitch.conf прикручена? >> Доступ извне по ssh к машине есть? >> В sshd_config есть ограничения в AllowUsers? > нет > нет > нет > Доступ шел именно с интернет IP адреса по порту 445.Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
- Взломали SAMBA, silent79, 08:44 , 11-Апр-17 (10)
> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а > почему же взломали? иногда головой надо думать А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью. Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
- Взломали SAMBA, sherlock, 09:32 , 11-Апр-17 (11)
> Анализируя логи, IP адрес откуда было это сделано, доступ был только через > samba.1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!! 2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила. 3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти. 4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё. Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.
|