The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Взломали SAMBA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Разное)
Изначальное сообщение [ Отслеживать ]

"Взломали SAMBA"  –1 +/
Сообщение от silent79 email(ok) on 07-Апр-17, 12:09 
Здравствуйте. Помогите понять, что сделали с данными.
Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.
В логах есть вот такое
nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)
[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)
  nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK
[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)
Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.
В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Взломали SAMBA"  +/
Сообщение от Сергей (??) on 07-Апр-17, 13:12 
> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
> хакером, по порту 445 (который как не странно закрыт в iptables,
> как это сделано тоже загадка), и в расшаренных папках убрал все
> содержимое, оставив файл с email, куда написать.

  Да чел наверное не через самбу зашел, а через что-то другое

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Взломали SAMBA"  +/
Сообщение от Sherlock email on 07-Апр-17, 20:22 
>> Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя
>> хакером, по порту 445 (который как не странно закрыт в iptables,
>> как это сделано тоже загадка), и в расшаренных папках убрал все
>> содержимое, оставив файл с email, куда написать.
>   Да чел наверное не через самбу зашел, а через что-то
> другое

Вот именно, а скорее всего даже была завирусована машина в локалке, которая имела доступ к этой шаре на запись, вот шифровальщик все и зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а), с меня требуют 100500 баксов

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Взломали SAMBA"  –1 +/
Сообщение от silent79 email(ok) on 07-Апр-17, 22:27 
> Вот именно, а скорее всего даже была завирусована машина в локалке, которая
> имела доступ к этой шаре на запись, вот шифровальщик все и
> зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а),
> с меня требуют 100500 баксов

Нет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Взломали SAMBA"  +/
Сообщение от eRIC (ok) on 08-Апр-17, 11:27 
> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
> iptables виден ip адрес тот же что и в логах Samba
> и обращение шло на 445 порт.

значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Взломали SAMBA"  +/
Сообщение от count0krsk (ok) on 09-Апр-17, 11:31 
>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
>> iptables виден ip адрес тот же что и в логах Samba
>> и обращение шло на 445 порт.
> значит он у вас все таки не был закрыт для мира (как
> и 137, 139, 445 должны быть закрыты для мира), давно известная
> уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).

Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Взломали SAMBA"  +/
Сообщение от silent79 email(ok) on 09-Апр-17, 12:50 
> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast
> трафика, расползания червей и судебных исков. Так что даже если он
> был открыт на "сервере", дальше свитча не должен был пролезть.

Интернет "поднимается" на сервере и Samba на нем же.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Взломали SAMBA"  +/
Сообщение от tonys email(??) on 10-Апр-17, 17:05 
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии,
> поэтому не особо интересны, но все же...

Авторизация через winbind в nsswitch.conf прикручена?
Доступ извне по ssh к машине есть?
В sshd_config есть ограничения в AllowUsers?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Взломали SAMBA"  +/
Сообщение от silent79 (ok) on 10-Апр-17, 17:55 
> Авторизация через winbind в nsswitch.conf прикручена?
> Доступ извне по ssh к машине есть?
> В sshd_config есть ограничения в AllowUsers?

нет
нет
нет

Доступ шел именно с интернет IP адреса по порту 445.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Взломали SAMBA"  +/
Сообщение от sherlock email(ok) on 11-Апр-17, 04:39 
>> Авторизация через winbind в nsswitch.conf прикручена?
>> Доступ извне по ssh к машине есть?
>> В sshd_config есть ограничения в AllowUsers?
> нет
> нет
> нет
> Доступ шел именно с интернет IP адреса по порту 445.

Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Взломали SAMBA"  +/
Сообщение от silent79 email(ok) on 11-Апр-17, 08:44 
> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а
> почему же взломали? иногда головой надо думать

А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью.

Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Взломали SAMBA"  +/
Сообщение от sherlock email(ok) on 11-Апр-17, 09:32 

> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.

1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.

3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.

4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.

Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Взломали SAMBA"  +/
Сообщение от count0krsk (ok) on 19-Апр-17, 08:23 
> Интернет "поднимается" на сервере и Samba на нем же.

Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor