 Взломали SAMBA,  silent79, 07-Апр-17, 12:09 [смотреть все]Здравствуйте. Помогите понять, что сделали с данными.
Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.
В логах есть вот такое
nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)
[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)
nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK
[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)
Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.
В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...
|
- Взломали SAMBA, Сергей, 13:12 , 07-Апр-17 (1)
> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
> хакером, по порту 445 (который как не странно закрыт в iptables,
> как это сделано тоже загадка), и в расшаренных папках убрал все
> содержимое, оставив файл с email, куда написать. Да чел наверное не через самбу зашел, а через что-то другое
- Взломали SAMBA, Sherlock, 20:22 , 07-Апр-17 (2)
>> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
>> хакером, по порту 445 (который как не странно закрыт в iptables,
>> как это сделано тоже загадка), и в расшаренных папках убрал все
>> содержимое, оставив файл с email, куда написать.
> Да чел наверное не через самбу зашел, а через что-то
> другое Вот именно, а скорее всего даже была завирусована машина в локалке, которая имела доступ к этой шаре на запись, вот шифровальщик все и зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), с меня требуют 100500 баксов
- Взломали SAMBA, silent79, 22:27 , 07-Апр-17 (3) –1
> Вот именно, а скорее всего даже была завирусована машина в локалке, которая
> имела доступ к этой шаре на запись, вот шифровальщик все и
> зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а),
> с меня требуют 100500 баксов Нет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.
- Взломали SAMBA, eRIC, 11:27 , 08-Апр-17 (4)
> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
> iptables виден ip адрес тот же что и в логах Samba
> и обращение шло на 445 порт.значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).
- Взломали SAMBA, count0krsk, 11:31 , 09-Апр-17 (5)
>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
>> iptables виден ip адрес тот же что и в логах Samba
>> и обращение шло на 445 порт.
> значит он у вас все таки не был закрыт для мира (как
> и 137, 139, 445 должны быть закрыты для мира), давно известная
> уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.
- Взломали SAMBA, silent79, 12:50 , 09-Апр-17 (6)
> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast
> трафика, расползания червей и судебных исков. Так что даже если он
> был открыт на "сервере", дальше свитча не должен был пролезть.Интернет "поднимается" на сервере и Samba на нем же.
- Взломали SAMBA, count0krsk, 08:23 , 19-Апр-17 (12)
> Интернет "поднимается" на сервере и Samba на нем же.Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.
- Взломали SAMBA, tonys, 17:05 , 10-Апр-17 (7)
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии,
> поэтому не особо интересны, но все же...Авторизация через winbind в nsswitch.conf прикручена?
Доступ извне по ssh к машине есть?
В sshd_config есть ограничения в AllowUsers?
- Взломали SAMBA, silent79, 17:55 , 10-Апр-17 (8)
> Авторизация через winbind в nsswitch.conf прикручена?
> Доступ извне по ssh к машине есть?
> В sshd_config есть ограничения в AllowUsers?нет
нет
нет Доступ шел именно с интернет IP адреса по порту 445.
- Взломали SAMBA, sherlock, 04:39 , 11-Апр-17 (9)
>> Авторизация через winbind в nsswitch.conf прикручена?
>> Доступ извне по ssh к машине есть?
>> В sshd_config есть ограничения в AllowUsers?
> нет
> нет
> нет
> Доступ шел именно с интернет IP адреса по порту 445.Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
- Взломали SAMBA, silent79, 08:44 , 11-Апр-17 (10)
> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а
> почему же взломали? иногда головой надо думать А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью. Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
- Взломали SAMBA, sherlock, 09:32 , 11-Апр-17 (11)
> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила. 3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти. 4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё. Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.
|
Версия для распечатки
