Здравствуйте. Помогите понять, что сделали с данными.
Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.
В логах есть вот такое
nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)
[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)
nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK
[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)
Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.
В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...
> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
> хакером, по порту 445 (который как не странно закрыт в iptables,
> как это сделано тоже загадка), и в расшаренных папках убрал все
> содержимое, оставив файл с email, куда написать.Да чел наверное не через самбу зашел, а через что-то другое
>> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
>> хакером, по порту 445 (который как не странно закрыт в iptables,
>> как это сделано тоже загадка), и в расшаренных папках убрал все
>> содержимое, оставив файл с email, куда написать.
> Да чел наверное не через самбу зашел, а через что-то
> другоеВот именно, а скорее всего даже была завирусована машина в локалке, которая имела доступ к этой шаре на запись, вот шифровальщик все и зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), с меня требуют 100500 баксов
> Вот именно, а скорее всего даже была завирусована машина в локалке, которая
> имела доступ к этой шаре на запись, вот шифровальщик все и
> зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а),
> с меня требуют 100500 баксовНет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.
> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
> iptables виден ip адрес тот же что и в логах Samba
> и обращение шло на 445 порт.значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).
>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
>> iptables виден ip адрес тот же что и в логах Samba
>> и обращение шло на 445 порт.
> значит он у вас все таки не был закрыт для мира (как
> и 137, 139, 445 должны быть закрыты для мира), давно известная
> уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.
> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast
> трафика, расползания червей и судебных исков. Так что даже если он
> был открыт на "сервере", дальше свитча не должен был пролезть.Интернет "поднимается" на сервере и Samba на нем же.
> Интернет "поднимается" на сервере и Samba на нем же.Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии,
> поэтому не особо интересны, но все же...Авторизация через winbind в nsswitch.conf прикручена?
Доступ извне по ssh к машине есть?
В sshd_config есть ограничения в AllowUsers?
> Авторизация через winbind в nsswitch.conf прикручена?
> Доступ извне по ssh к машине есть?
> В sshd_config есть ограничения в AllowUsers?нет
нет
нетДоступ шел именно с интернет IP адреса по порту 445.
>> Авторизация через winbind в nsswitch.conf прикручена?
>> Доступ извне по ssh к машине есть?
>> В sshd_config есть ограничения в AllowUsers?
> нет
> нет
> нет
> Доступ шел именно с интернет IP адреса по порту 445.Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а
> почему же взломали? иногда головой надо думатьА ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью.
Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.
4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.
Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.