Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: killrob on March 21, 2017, 12:53:39 PM
-
Salve a tutti,
SME server 8 server+gateway
c'è un virus sul server che mi rinomina i file .pdf in .jse e non so come debellarlo. Clamav, aggiornato, non rileva nulla come posso fare? che tools posso utilizzare?
Non appena copia un file .pdf dal computer locale al server dopo nemmeno 1 minuto viene rinominato in .jse e diventa chiaramente illeggibile. Cercando in rete non ho trovato notizie riguardo a questo tipo di infezione quindi chiedo aiuto qui, sperando di risolvere.
Grazie a tutti
p.s.: tutti i client (windows) sono stati "disinfettati" con 5 antivirus differenti con partenza da CD
-
se è qualcosa che gira sul server significa che la tua macchina è compromessa.
maggiori info, please.. ci sono applicazioni web esposte su WAN?
clamav non fa la scansione del S.O. ma solo di alcune directory
SME8 è unsupported
se necessiti di supporto per determinare il problema, contattami offline
-
no non ci sono applicazioni esposte.
il server lo utilizzano solo con le i-bays per condividere files
-
Allora i client non son puliti :-)
Prova a copiare un PDF con filezilla in un ibay e vedi se succede ancora
-
ci proverò,adesso non sono in grado di farlo, lo faccio alle 17:30
ma siccome è una cosa che non ho mai fatto....
in filezilla ci metto l'indirizzo ip del server? e come utenza e password ci metto un utenza che può accedere a quelle i-bays o quella admin?
-
ok.. fai così:
- usa filezilla con credenziali di root
- come indirizzo host metti l'ip del server, metodo scp
- copia il file nella directory /home/e-smith/files/ibays/TUOIBAY/files
poi loggati come root in ssh
come prima cosa, dai
db accounts setprop TUOIBAY Audit enabled
signal-event ibay-modify TUOIBAY
questo attiva l'auditing dei file/dir nell'ibay selezionato..
poi, vai su /home/e-smith/files/ibays/TUOIBAY/files
cd /home/e-smith/files/ibays/TUOIBAY/files
avrai il tuo file con permessi diversi..
identifica un file qualsiasi già presente nella dir
facendo
ls -la filediesempio
otterrai una cosa tipo
[root@mailserver sogo]# ls -la sogo.log
-rw-r--r-- 1 sogo sogo 9366531 Mar 21 14:04 sogo.log
supponendo che il tuo file sia pippo.pdf, fai
chown --reference=filediesempio pippo.pdf
chmod --reference=filediesempio pippo.pdf
in questo modo il file trasferito avrà permessi e credenziali corrette.. ma non è stato trasferito via samba (condivisione di rete)
adesso prova a vedere se, aprendo quel percorso con i client, il file viene rinominato
in ogni caso, butta un occhio al file /var/log/samba/samba_audit: li trovi tutte le operazioni fatte sui file/dir della share dai client, comprese rinomine e cancellazioni..
-
ok farò come dici e poi ti faccio sapere...
poi però mi dici perchè, a tuo dire, i clients non sono puliti. Io mi aspettavo che, essendo ancora infetti, il file venisse rinominato direttamente sul client e non dopo che è stato copiato sul server.
-
premesso che vado di deduzioni, supposizioni e baso tutto sulla mia esperienza..
mi hai detto che la macchina è solo un file server, non esposto su WAN (i.e. nessuna applicazione web.. ma posta? VPN?)
se fosse così, non c'è modo per SME di essere stato infettato.. l'accesso tramite samba è relegato a directories ben precise ed i permessi non permettono di toccare il filesystem, il che significa che non c'è possibilità che qualcosa, passando attraverso samba, sia veicolata dai client al server..
quindi *per me* il server è pulito
la catena è composta da 2 anelli: server e client.. se il server è pulito, restano i client..
naturalmente ignoro cosa ci sia su quel server in termini di contribs e cosa (e come) sia stato eventualmente personalizzato
come li aprite/visualizzate i pdf? perchè .jse è una estensione non necessariamente pericolosa (e magari qualche client ha una impostazione sbagliata che salva quei file con quell'estensione)
in ogni caso, se attivi l'audit ed un file viene rinominato *via samba* (i.e. da un client) saprai subito da che macchina..
infine, relativamente a SME8, essendo il sistema in EOL (o quasi, manca una settimana), la policy sarebbe di risponderti "è unsupported"..
voglio solo assicurarmi che la macchina stia bene e che tu quindi possa migrare senza problemi alla 9 (cosa che ti invito a fare prima di ieri)
-
Ok ho capito,
la posta non passa su SME ci si appoggiano solo i .pst di outlook, VPN la ho e la uso solo io dalla mia postazione di casa (o il mio smartphone) ed il mio pc non è infetto.
come contribs sul server c'è solo Disk ARchive e Crontab Manager.
i pdf vengono aperti con acrobat reader e vengono creati, quando serve, da files .doc con MS words altrimenti arrivano via posta come allegati. E comunque mi hanno appena detto che stamattina è stato copiato un .pdf in una delle directory e 5 minuti dopo erano già stati rinominati.
-
il samba_audit sotto /var/log/samba è vuoto
mi da dimensione 0 e data 30 ago 2014
-
hai abilitato l'audit come ti ho detto?
-
si fatto
l'ibay a cui ho fatto l'audit ha delle sottocartelle in una delle quali ho trasferito il file via filezilla
-
ok.. macchina aggiornata?
hai provato, dopo aver abilitato l'audit, a connetterti alla share di rete?
mi posti l'output di
db accounts show TUOIBAY
?
grazie
-
[root@sassone01 samba]# db accounts show agriamm
agriamm=ibay
Audit=enabled
CgiBin=disabled
Gid=5042
Group=amministrazione
Name=amministrazione generale
PasswordSet=no
PublicAccess=none
Uid=5042
UserAccess=wr-group-rd-group
[root@sassone01 samba]#
-
macchina aggiornata? (agli ultimi aggiornamenti disponibili per SME8 intendo)
-
in /etc/samba/smb.conf dovresti avere qualcosa di simile a questo (contestualizzato al tuo ibay), confermi?
[storage]
comment = storage
path = /home/e-smith/files/ibays/storage/files
read only = no
writable = yes
printable = no
inherit permissions = yes
create mode = 0664
vfs objects = full_audit
full_audit:priority=notice
full_audit:success=opendir mkdir rmdir open write rename unlink
full_audit:failure=connect
full_audit:facility=local5
full_audit:prefix=%u|%I|%S
-
si aggiornata ieri
e si quello che hai postato è esattamente quello che ho relativa a quell'ibay in audit
-
la prova di trasferimento via filezilla la DEVO fare da tutti i clients che sospetto siano infetti giusto?
-
No, basta da uno
-
allora il risultato è il seguente:
ho caricato il file .pdf come da tue istruzioni 15 minuti fa, e poi ci sono andato direttamente accedendoci dal client con esplora risorse, non contento allo stesso momento, facendo copia incolla classico di windows ci ho copiato un secondo file .pdf.....
risultato nessuno dei 2 files .pdf è stato rinominato.
adesso ho provato da un'altro client a copia/incollare un terzo file .pdf nella stessa directory dei primi 2... a sentire il cliente stamattina dopo 10 minuti il file era stato rinominato.... adesso aspetto
-
I client sono tutti accesi? Ci sono client "stranieri" (tipo portatili personali o di terzi)?
-
client tutti accesi e nessuno straniero presente.
Nel pc da dove è partita tutta l'infezione ho trovato il "maledetto" nelle opzioni di avvio in "msconfig": si era annidato in AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup e si chiama wsr64.jse
-
Doh! :-)
-
non ti ho nemmeno ringraziato per il supporto Stefano....
GRAZIE 10000 :-) :-) :-) :-) :-)
e provvederò quanto prima a passare a SME 9.1
-
you are welcome.. :-)
una donazione in termini di tempo (collaborazione) o denaro è ovviamente gradita ;-)
-
posso contribuire in denaro (anche se non molto) non sono abbastanza "istruito" su SME per collaborare, al limite se vi serve un moderatore per il forum... quello sono in grado :P
-
posso contribuire in denaro (anche se non molto) non sono abbastanza "istruito" su SME per collaborare, al limite se vi serve un moderatore per il forum... quello sono in grado :P
ci accontenteremo della prima :-D