forum.opennet.ru

Форум Samba, вопросы интеграции Unix и Windows (Разное)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Взломали SAMBA, silent79 (ok), 07-Апр-17, (0) [смотреть все] –1

Да чел наверное не через самбу зашел, а через что-то другое, Сергей (??), 13:12 , 07-Апр-17, (1) //

Вот именно, а скорее всего даже была завирусована машина в локалке, которая имел, Sherlock (?), 20:22 , 07-Апр-17, (2) //

Нет, тут 100 все произошло не из локальной сети, т к в логах iptables виден ip, silent79 (ok), 22:27 , 07-Апр-17, (3) –1 //

значит он у вас все таки не был закрыт для мира как и 137, 139, 445 должны быть, eRIC (ok), 11:27 , 08-Апр-17, (4)

Нормальные провайдеры закрывают самба-порты на уровне свитчей для предотвращен, count0krsk (ok), 11:31 , 09-Апр-17, (5)

Интернет поднимается на сервере и Samba на нем же , silent79 (ok), 12:50 , 09-Апр-17, (6)

Попробуйте поснифать внешний интерфейс Там не будет характерной активности smb , count0krsk (ok), 08:23 , 19-Апр-17, (12)

Авторизация через winbind в nsswitch conf прикручена Доступ извне по ssh к маши, tonys (??), 17:05 , 10-Апр-17, (7) //

нетнетнетДоступ шел именно с интернет IP адреса по порту 445 , silent79 (ok), 17:55 , 10-Апр-17, (8) //

Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а поч, sherlock (ok), 04:39 , 11-Апр-17, (9) //

А ты типа доадмин Если бы прочитал всю тему, то понял бы о чем тут вопрос Я не, silent79 (ok), 08:44 , 11-Апр-17, (10)

1 У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше, sherlock (ok), 09:32 , 11-Апр-17, (11)

Сообщения [Сортировка по времени | RSS]

7. "Взломали SAMBA" +/–

Сообщение от tonys (??), 10-Апр-17, 17:05

> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии,
> поэтому не особо интересны, но все же...
Авторизация через winbind в nsswitch.conf прикручена?
Доступ извне по ssh к машине есть?
В sshd_config есть ограничения в AllowUsers?

Ответить | Правка | Наверх | Cообщить модератору

8. "Взломали SAMBA" +/–

Сообщение от silent79 (ok), 10-Апр-17, 17:55

> Авторизация через winbind в nsswitch.conf прикручена?
> Доступ извне по ssh к машине есть?
> В sshd_config есть ограничения в AllowUsers?
нет
нет
нет
Доступ шел именно с интернет IP адреса по порту 445.

Ответить | Правка | Наверх | Cообщить модератору

9. "Взломали SAMBA" +/–

Сообщение от sherlock (ok), 11-Апр-17, 04:39

>> Авторизация через winbind в nsswitch.conf прикручена?
>> Доступ извне по ssh к машине есть?
>> В sshd_config есть ограничения в AllowUsers?
> нет
> нет
> нет
> Доступ шел именно с интернет IP адреса по порту 445.
Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать

Ответить | Правка | Наверх | Cообщить модератору

10. "Взломали SAMBA" +/–

Сообщение от silent79 (ok), 11-Апр-17, 08:44

> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а
> почему же взломали? иногда головой надо думать
А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью.
Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.

Ответить | Правка | Наверх | Cообщить модератору

11. "Взломали SAMBA" +/–

Сообщение от sherlock (ok), 11-Апр-17, 09:32

> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.
1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.
3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.
4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.
Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

7. "Взломали SAMBA"	+/–
Сообщение от tonys (??), 10-Апр-17, 17:05
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, > поэтому не особо интересны, но все же... Авторизация через winbind в nsswitch.conf прикручена? Доступ извне по ssh к машине есть? В sshd_config есть ограничения в AllowUsers?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Взломали SAMBA"	+/–
	Сообщение от silent79 (ok), 10-Апр-17, 17:55
	> Авторизация через winbind в nsswitch.conf прикручена? > Доступ извне по ssh к машине есть? > В sshd_config есть ограничения в AllowUsers? нет нет нет Доступ шел именно с интернет IP адреса по порту 445.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Взломали SAMBA"	+/–
	Сообщение от sherlock (ok), 11-Апр-17, 04:39
	>> Авторизация через winbind в nsswitch.conf прикручена? >> Доступ извне по ssh к машине есть? >> В sshd_config есть ограничения в AllowUsers? > нет > нет > нет > Доступ шел именно с интернет IP адреса по порту 445. Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Взломали SAMBA"	+/–
	Сообщение от silent79 (ok), 11-Апр-17, 08:44
	> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а > почему же взломали? иногда головой надо думать А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью. Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Взломали SAMBA"	+/–
	Сообщение от sherlock (ok), 11-Апр-17, 09:32
	> Анализируя логи, IP адрес откуда было это сделано, доступ был только через > samba. 1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!! 2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила. 3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти. 4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё. Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.
	Ответить \| Правка \| Наверх \| Cообщить модератору