D83FD505.[cry777@tutanota.com].arena - elgyepált egy Debian alapú szervert

Security-all

Zsarolóvírus elgyepált egy szervert, csak a webes részen használt fájlokat titkosította. Továbbá a szerveren van egy nyílt ftp is, ott is kifingatott egy pár fájlt.

A levelezést és az userek fájljait nem bántotta.

A szerveren egy régebbi debian van használva.

Nagy kárt ugyan nem tett, a nyílt ftp-t csak fájlok cserélésére, használjuk, a webtartalomról meg mindig van másolat.

A rendszeren (/bin, /usr/bin, /etc, ... stb nem látszik változás fájldátum alapján.

A nagy kérdés: a tárgyban említett zsarolóvírus fogja-e folytatni tevékenységét, esetleg valami módon átterjedhet-e további Linuxos gépekre?

Érdemes-e beruházni licencelt vírusirtóra Linuxis gépeken is (pl. NOD32 Linuxos változata) , vagy az is tehetetlen a zsarolóvírusokkal szemben?

  • 1332 megtekintés

( gemnon v | 2017. 09. 27., sze – 22:51 )

Biztos, hogy a linux szerveren futott le? :) A fentiből ítélve Crysis/Dharma amennyire én tudom, nincs linuxos portja. Nem volt felcsatolva valamilyen win kliensen?

Nem biztos, hogy a szerveren futott le. Meghajtóként nincs felcsatolva egyik windows-os gépen sem, de van rajta szerkesztve egy-két txt-fájl, meg néha képek kerülnek fel windows-os gépekről. Az elérés \\192.168.1.1\megosztas\útvonal beírásával történik explorerben.

Az érdekesség az, hogy 555 chmod-ú fájlokat is felülírt, ami akkor is furcsa lenne, ha felcsatolt meghajtóként kezelnék. (azt ugye csak a szerveren, root-ként lehetne piszkálni.)

Lehet, majd a logfájlok elárulnak valamit, a főfeladat egyelőre a webes tartalom helyreállítása volt.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

Én megnézném, hogy a windowsos gépek közül egyik se fertőzött, mert ezek simán végigszkennelik a megosztásokat (nem muszáj, hogy csatolva legyen csak, hogy hozzáférjen). :) Azzal kezdeném, ha van olyan ami ki van rakva RDP-n/VNC-n a netre.

U.i.:Az apacherol az Indexes-t vedd le, mert így hülyén mutat a googlen ;)